VIRUS impossible de passer un antivirus Résolu

Question

bonjours 
J'ai un gros souci de virus et je suis sur le point de reformater,sauf si quelqu'1  veut bien m'aider .
Il se passe que j'ai quelques programmes qui sont désactivés comme real player ou corrompus comme picassa ,mon navigateur avant browser qui ne veut plus s'ouvrir (j'utilise en ce moment internet exploreur) ainsi que le gestionnaire des taches qui est désactivié. Ensuite je ne peut passer aucun antivirus , ni anti spyware ,ni cc cleaner car ils bloquent tous au même endroit sur un un dossier de "mes documment" que je ne peut  pas supprimer non plus . Seul avast effectue le scan mais sanr rien detecter sauf
un virus "MS06-001 WMF Exploit" . qui figure dans le journal comme simple avertissement mais je ne le voit pas dans la quarantaine. Et quand je refaid un scan il ne dit rien.
Comment faire pour savoir de quel virus c'est .et quoi faire?
peut être avec hijackmais je ne sait pas m'en servir
merci de me donner une idée .Est ce que je dois reformater?
et j'oubliais je n'ai pas encore utilier la restauration du système j'ai peur d'agraver les choses,et en attendant je sauvegarde mes fichiers.

afideg · Answer

salut kesaco

Vas-là, et suis la page < https://www.informatruc.com >

Donc, télécharge CleanUp et lance le nettoyage
Dis-nous si quelque chose a changé

kesaco · Answer

voila le rapport de hijackthis et merci encore

Logfile of HijackThis v1.99.1
Scan saved at 21:01:45, on 03/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\Program Files\PREVX\Prevx Home\PXAgent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Overnet\overnet.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Prevx Home.lnk = C:\Program Files\PREVX\Prevx Home\SAGUI.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm824YYFR
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADB8C76E-7DA3-44ED-8A15-03C9204750C7}: NameServer = 85.255.116.171,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{B90E58AC-1D29-486E-886E-98CEFDB18B02}: NameServer = 85.255.116.171,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8DE38F9-22A0-4CFF-862A-96932E809748}: NameServer = 85.255.116.171,85.255.112.228
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.228
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\PREVX\Prevx Home\PXAgent.exe" -f -af (file missing)
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe

afideg · Answer

1ère étape ·Télécharge FixWareout d'un de ces trois sites sur le bureau: ·< http://downloads.subratam.org/Fixwareout.exe > < http://swandog46.geekstogo.com/Fixwareout.exe > ·< https://www.bleepingcomputer.com/download/linux/ > * Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. *Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt); et poste un nouveau rapport HijackThis dans ta prochaine réponse. Courage Télécharge ceci pour récupérer ta connexion : au cas où : < http://babin.nelly.free.fr/WinsockFix.zip > 2ème étape: « Peux-tu contrôler ce(s) fichier(s) srksrv.exe à l'aide de VirusTotal ? » Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html > Procédure à suivre: •- sur la page qui s'affiche tu cliques sur "parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du ( ou des ) fichier(s) •- suivre le chemin, c'est-à-dire : C:\WINDOWS\System32\srksrv.exe •- quand tu as trouvé le fichier " srksrv.exe " ( mis en gras, , tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal ) •- et tu attends le résultat ( sois patiente ) •- que tu postes sur le forum Merci 3ème étape: 1°- • - Tu fais un nettoyage avec CCleaner: < https://www.01net.com/404/ > Utilisation : Suppression des fichiers temporaires Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur" Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/ mais pour "Avancé" à fais comme ça < http://img216.imageshack.us/img216/9611/screenshot107cs2.gif > ) • Clique sur Analyse • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. • Une fois le scan terminé, clique sur Lancer le Nettoyage Suppression des incohérence du registre • Clique sur l'icône Erreurs situés dans la marge à gauche. • Puis clique sur "Chercher les erreurs" • Patiente pendant que CCleaner scan ton registre. • Une fois le scan terminé, et avant de cliquer sur "Réparer les erreurs sélectionnées" effectuer une sauvegarde de votre registre (comme proposé). • Tu peux cliquer ensuite sur Corriger les erreurs. •Recommencer jusqu’à qu’il n’y est plus d’erreurs détectées. 2°- Tu peux aussi faire un scan en ligne, ici : < https://www.avg.com/en/signal/malware-and-virus-removal-tool >, Attention, laisse s'achever la mise à jour ,,qui se lance automatiquement à l'ouverture ! ( tu devras peut-être accepter les actives X à la demande , - il y a une ligne à cliquer dessus - ) À la fin, tu "save the report" et tu cliques sur "remove infections" Copie/colle le rapport Un tuto: < https://www.malekal.com/tutorial-et-guide-ewido-v4/ > Un tuto animé : < http://perso.orange.fr/entraide-hijackthis/Ewido/ > ( merci Moe ) 3°- Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX) < https://assiste.com/404_La_page_demandee_n_existe_pas.php > , ou là : < http://www.bitdefender.fr/scan/license.php > Accepte la license Accepter et installer le contrôle des ActivesX Installer le programme ( laisser faire ) Puis lancer le scanner. Copie/COLLE le rapport entier Merci

Utilisateur anonyme · Answer

Un pti bonsoir Afi ;-)

en esperant que tu vas bien !

A++

Qc001 · Answer

Salut afideg, Boulepate, kesaco,

afideg : ta manip est excellente :-)

Toujours mieux de passer FixWareout seul, alors bien joué ;-)

Étant donné que kesaco aura d'autre boulot suite à FixWareout, le rapport sera, de toute façon, sauvegardé ici :

C:\fixwareout\report.txt

@+

afideg · Answer

Bonjour à tous, Merci Qc001, Kesako, Je me pose des questions sur ceci : •- J2SE Runtime Environment 5.0 Update 6 •- Java 2 Runtime Environment, SE v1.4.1_02 •- Java 2 Runtime Environment, SE v1.4.1_07 •- Java Web Start •- O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll •- O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll Mais je sais t'assurer que malgré cela,ta console Java n'est pas à jour. Pour corriger cela, va chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière version. Après installation et redémarrage, va dans le "panneau de configuration" > "Ajout/Suppression des programmes" afin de désinstaller l'ancienne version ( ou les anciennes versions = toutes ), ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version. Retourne alors chez Java ci-dessus et ( sur la droite de cette page ) clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo < https://filehippo.com/download_jre_32/?ex=CORE-116.0 > Merci

afideg · Answer

Kesako A- Résumé: #12- 1ère étape FixWareout + rapport = c'est fait 2ème étape "srksrv.exe" à l'aide de VirusTotal = il manque l'en-tête du rapport pour me convaincre. J'en profite pour te demander si tu connais ce service " SarkoService (SarkophageService) " ? 3ème étape 1°- Nettoyage avec CCleaner ( comme indiqué ) « je le fais avec la versionque j'ai vi.32.345 ,le lien que vous m'avez donné fonctionne pas » Lire # 20: on en est à la version 1.34.407; exécute la mise à jour ( pas besoin de désinstaller ta version existante ==> ATENTION: Ce n'est pas une règle générale! ). Télécharge ici : < https://filehippo.com/download_ccleaner/ > Tutorial ici: < https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php > Tant que tu y es, fais aussi "correction des erreurs de regitres" ( sauvegarde à la demande ) : je n'ai pas confirmation que c'est fait. 2°- Vu 3°- Scan online avec BitDefender + Copie/COLLE le rapport entier Pas fait = à faire ========================= B- À AJOUTER et à faire: 1°- Analyse avec SmitfraudFix: •- Télécharges SmitfraudFix : < http://siri.urz.free.fr/Fix/SmitfraudFix.zip > sur le bureau. •- Pour SmitfraudFix : « Une fois téléchargé sur ton bureau , clic droit " Extraire vers ..." Tu as alors un nouveau dossier qui s'est créé . » Je recommence: fais en suivant ces trois images ( copier/coller url dans la barre d’adresse du navigateur ): < img211.imageshack.us/img211/4672/screenshot061to5.gif > ---> ainsi, tu extrais < img176.imageshack.us/img176/4729/screenshot062od3.gif >----> ainsi tu crées un nouveau dossier < img176.imageshack.us/img176/3982/screenshot063qe0.gif >----> là, tu double-cliques sur "SmitfraudFix.cmd". •- Tu as toutes les explications sur le tuto : < http://siri.urz.free.fr/Fix/SmitfraudFix.php > •- Ouvre ce dossier et clique sur "SmitfraudFix.cmd" Sur la page bleue qui s'affiche, tape 1 > ENTER. 2°- ATTENTION: Si tu vois des lignes avec "PRESENT! " continue la manip qui suit: • Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec) < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > • Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisis l’option 2 et tu réponds oui à tout. Copie/colle le rapport sur le forum, SVP. C-Restauration du système "Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > OK Tu redémarres le PC. Tu refais la même chose, mais à la fin, tu décoches la case "Désactiver la Restauration du système" > OK D- Suivi d’un nouveau rapport HJT, SVP Bon courage et bonne nuit

Qc001 · Answer

Salut Afideg :-)

kesaco : prière de ne pas lire ce post, sinon ça pourrait te créer une certaine confusion. Je discute avec afideg un brin, c'est tout..:-)
=============
J'ai beaucoup de difficulté à suivre cette discussion..lol.. Quand les posts ne sont pas en ordre chronologique, je deviens dingue ;-)

Ok ; Wareout semble toujours actif selon le online scan d'Ewido :

Name: Trojan.Small.fb
Path: [1392] VM_01ED0000
Risk: High

>> Le "[1392]" indique que le processus est chargé en mémoire.

Petits détails au sujet de FixWareout et du log généré :

L'infection Wareout crée des fichiers de type "rootkit", et ces fichiers sont aléatoires, mais de deux formes bien identifiables :

cs***.exe
dm***.exe

Lonny (créateur de l'outil) a préféré ne pas permettre au tool de tous les supprimer, car certains peuvent être légitimes. Nous pouvons les voir dans le rapport par contre (au bas) :
---------------------------
»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSQQK.EXE 51 763 2006-10-30
C:\WINDOWS\SYSTEM32\DMCWY.EXE 61 022 2003-09-20

csqqk.exe est un fichier Wareout. Identifié par Ewido :

Name: Downloader.Agent.uj
Path: C:\WINDOWS\system32\csqqk.exe
Risk: High

L'autre : dmcwy.exe a été créé en 2003, mais est inconnu de Google. Faudrait le faire analyser chez VirusTotal.
------------------------
Voici donc la méthode que je te suggère :

1) KillBox ce C:\WINDOWS\system32\csqqk.exe
2) Repasse FixWareout (**fermer le navigateur avant de le lancer**)
3) Après redémarrage : fix les lignes O17 de Wareout avec HJT
4) Upload ce DMCWY.EXE chez VirusTotal
5 ) Demande : 
- Rapport de FixWareout
- Rapport d'analyse de VirusTotal
- Nouveau log HijackThis!

Ouff... on se croise les doigts ;-)

kesaco · Answer

bonjour
résumé:
1ère étape : l'entête de virus total
et je met les réponses a la suite pour vous faciliter les choses si j'ai bien compris dans "continuer la discussion":)

2ième étape et suivante a suivre tout de suite..


VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


          Select file :             DistributeSSL 

          Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector. 
Estadisticas Statistics of VirusTotal procesing. 
Virustotal More info about Virustotal. 
 

STATUS: FINISHEDComplete scanning result of "srksrv.exe", received in VirusTotal at 11.05.2006, 12:22:28 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.37 11.03.2006  no virus found 
Authentium 4.93.8 11.05.2006  no virus found 
Avast 4.7.892.0 11.03.2006  no virus found 
AVG 386 11.04.2006  no virus found 
BitDefender 7.2 11.05.2006  no virus found 
CAT-QuickHeal 8.00 11.04.2006  no virus found 
ClamAV devel-20060426 11.05.2006  no virus found 
DrWeb 4.33 11.05.2006  no virus found 
eTrust-InoculateIT 23.73.45 11.03.2006  no virus found 
eTrust-Vet 30.3.3176 11.03.2006  no virus found 
Ewido 4.0 11.04.2006  no virus found 
Fortinet 2.82.0.0 11.05.2006  no virus found 
F-Prot 3.16f 11.04.2006  no virus found 
F-Prot4 4.2.1.29 11.04.2006  no virus found 
Ikarus 0.2.65.0 11.03.2006  no virus found 
Kaspersky 4.0.2.24 11.05.2006  no virus found 
McAfee 4888 11.03.2006  no virus found 
Microsoft 1.1609  11.04.2006  no virus found 
NOD32v2 1.1853 11.03.2006  no virus found 
Norman 5.80.02 11.03.2006  no virus found 
Panda 9.0.0.4 11.04.2006  no virus found 
Sophos 4.10.0 10.26.2006  no virus found 
TheHacker 6.0.1.112 11.03.2006  no virus found 
UNA 1.83 11.03.2006  no virus found 
VBA32 3.11.1 11.04.2006  no virus found 
VirusBuster 4.3.15:9 11.04.2006 no virus found 


Aditional Information 
File size: 453632 bytes 
MD5: 654406e4aa90218af4b3e7a945ad3b2c 
SHA1: 535d3aeddce585505cdc11b2ec36e10af0998221 

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. 
> Ir a: Inicio Contactar En Español 
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-06:: e-mail info@virustotal.com

kesaco · Answer

voila le rapport bit deffender.
enfin...



BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Sun, Nov 05, 2006 - 15:34:49
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 02:17:57
 
Fichiers
 612578
 
Directoires
 8635
 
Secteurs de boot
 3
 
Archives
 23511
 
Paquets programmes
 123687
 
  
  
 
Résultats
 
Virus identifiés
 5
 
Fichiers infectés
 6
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 6
 
  
  
 
Info sur les moteurs
 
Définition virus
 312608
 
Version des moteurs
 AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)
 
Analyse des plugins
 13
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\archives jeux\spacefighterweb.swf.zip=>spacefighterweb.swf=>[SWF command]
 Infecté par: Trojan.SwfDL.A
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\archives jeux\spacefighterweb.swf.zip=>spacefighterweb.swf=>[SWF command]
 Echec de la désinfection
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\archives jeux\spacefighterweb.swf.zip=>spacefighterweb.swf=>[SWF command]
 Supprimé
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\archives jeux\spacefighterweb.swf.zip=>spacefighterweb.swf
 Echec de la mise à jour
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\spacefighterweb.swf=>[SWF command]
 Infecté par: Trojan.SwfDL.A
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\spacefighterweb.swf=>[SWF command]
 Echec de la désinfection
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\spacefighterweb.swf=>[SWF command]
 Supprimé
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\spacefighterweb.swf
 Echec de la mise à jour
 
C:\Program Files\AxBx\PC Security Test 2006\files\spyware.txt
 Détecté avec: Application.VTesttool.A
 
C:\Program Files\AxBx\PC Security Test 2006\files\spyware.txt
 Supprimé
 
C:\Program Files\AxBx\PC Security Test 2006\files\virus1.txt
 Détecté avec: Application.VTesttool.B
 
C:\Program Files\AxBx\PC Security Test 2006\files\virus1.txt
 Supprimé
 
C:\Program Files\AxBx\PC Security Test 2006\files\virus3.txt
 Détecté avec: Application.VTesttool.C
 
C:\Program Files\AxBx\PC Security Test 2006\files\virus3.txt
 Supprimé
 
C:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP541\A0866056.exe
 Infecté par: MemScan:Trojan.Downloader.Mohbpork.A
 
C:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP541\A0866056.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP541\A0866056.exe
 Supprimé

kesaco · Answer

afi,salut
il n'y avait pas de ligne "PRESENT" donc je ne l'ai pas fait en mode sans echec

SmitFraudFix v2.117

Rapport fait à 16:09:52,07, 05/11/2006
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\securit‚e\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» 


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

afideg · Answer

Pas pu répondre plus vite Le forum CCM a été en maintenance, et j'ai de la visite chez moi. « -ensuite je fais la mise a jour de java avant l'analyse ou pas? -j'espère que je vous dérange pas trop -en attendant , maintenant j'arrive a passer un antivirus -apres je ferais les mises a jour et je virerais un max de progrmmes( dont interent exploreur). -et je lirais les tutos que vous m'avez indiqué » Laisse ça pour plus tard, il y a plus urgent ! « pour sarko effectivement je l'utilise » OK Merci ( j’avais eu l’intention de le faire supprimer – sans ta réponse ) À faire maintenant, dans l'ordre, ET COMPLETEMENT . 1°- Telecharges Killbox sur ton Bureau : http://www.killbox.net/downloads/KillBox.exe )- Fais redémarrer l'ordinateur en mode sans échec, )- Lance Pocket Killbox (Double-clique killbox.exe.) )- dans la barre vide ( = dans la boîte "Full Path of File to Delete" ) entre ceci: (exactement) C:\WINDOWS\system32\csqqk.exe )- Choisis l'option "Delete on reboot" )- Clique sur la croix blanche sur fond rouge (Delete File). - Killbox va demander "File will be Removed on Reboot, Do you want to reboot now” Yes/OUI - Une seconde fenetre te demande si tu veux redemarrer maintenant cliques sur NO/NON 2°- Relance FixWareout * clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le ( donc, en mode normal ). Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. *Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt); 3°- Relance HJT et fixe ces lignes: - R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:3128 SAUF si tu utilises un serveur proxy ? ( dans ce cas , ne fixe pas ! ) - O15 - Trusted Zone: *.isengrin@msn.com ==> ? SAUF si tu reconnaîs l'adresse comme site de confiance.- O15 - Trusted Zone: *.tiberaude@msn.com ==> ? SAUF si tu reconnaîs l'adresse comme site de confiance. - O15 - Trusted Zone: *.vraimystere@msn.com ==> ? SAUF si tu reconnaîs l'adresse comme site de confiance. - O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/...==> SAUF si tu utilises TrendMicro( dans ce cas , ne fixe pas ! ) •- O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ •- O17 - HKLM\System\CCS\Services\Tcpip\..\{ADB8C76E-7DA3-44ED-8A15-03C9204750C7}: NameServer = 85.255.116.171,85.255.112.228 •- O17 - HKLM\System\CCS\Services\Tcpip\..\{B90E58AC-1D29-486E-886E-98CEFDB18B02}: NameServer = 85.255.116.171,85.255.112.228 •- O17 - HKLM\System\CCS\Services\Tcpip\..\{F8DE38F9-22A0-4CFF-862A-96932E809748}: NameServer = 85.255.116.171,85.255.112.228 •- O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.228 •- O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.228 4°- Contrôler ce(s) fichier(s) à l'aide de VirusTotal ? » • C:\WINDOWS\SYSTEM32\DMCWY.EXE • C:\Program Files\PREVX\Prevx Home\SAGUI.exe • C:\Program Files\Calendrier\Cld2000.exe • C:\WINDOWS\System32\dmzyf.exe • c:\progra~1\avantb~1\Search.htm Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html > Procédure à suivre: ( ceci est l'exemple que tu connais ! ) •- sur la page qui s'affiche tu cliques sur "parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du ( ou des ) fichier(s) •- suivre le chemin, c'est-à-dire : C:\WINDOWS\System32\srksrv.exe •- quand tu as trouvé le fichier " srksrv.exe " ( mis en gras, , tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal ) •- et tu attends le résultat ( sois patiente ) •- que tu postes sur le forum 5°- Pour cette R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll The free version is available for download here: < https://store.trendmicro.com/store?Action=DisplayProductDetailsPage&Locale=en_US&OfferID=849373009&SiteID=tmamer&pgm=13852200&productID=104924800&srcID=TMASYtoTAV_UnknownEOL_19_95 > Tu as ceci: « Trend Micro™ CWShredder™ Version 2.19 is the latest defense against the new Cool Web Search variants, and ….[ click here to learn more ]  tu cliques sur l’entre crochet ici, ou sur la page en cours. Au pied de la nouvelle page qui s’ouvre, tu cliques sur l’icône « Free trend micro CWSShredder » Au pied de la nouvelle page qui s’ouvre, tu cliques sur « remove coolwebsearch » 6°- Relance HJT pour un rapport à poster. Courage, c'est quasi fini ( ton PC était bien malade ) Merci

afideg · Answer

Pour CWS-Shredder au 5°

Ceci est plus simplement dit:
clic< < https://www.trendmicro.com/en_us/forHome.html >, puis tu cliques sur  « remove coolwebsearch »

Désolé pour la formulation compliquée, précédente.

Essaie de tout exécuter.
C'est important de faire SANS INTERRUPTION  pour cette fois.

MERCI

Qc001 · Answer

Bonsoir tous/toutes,

Désolé mais je n'ai pas pu suivre aujourd'hui.

Pour KillBox : lorsque cette erreur apparaît, il faut simplement redémarrer comme à l'habitude (via le bouton "Démarrer"). Ceci ne garanti pas que le fichier sera détruit par KillBox par contre. Mais le fichier existe :-)

Ce que l'erreur signifie : la valeur "PendingFileRenameOperations" dans la bdr a été retirée par une bestiole, ce qui empêche KillBox de redémarrer. En le faisant nous-même, on contourne ce problème...


@+

afideg · Answer

Bonjour Qc001
Merci pour l'intérêt que tu portes à la solution de ce topic.

En effet, toute l'astuce était de connaître la conséquence de ce message "PendingFileRenameOperations ...." ; à savoir que cela empêche KillBox de redémarrer.

J'avais déjà lu ( mais en d'autres circonstances ) qu'il ne fallait pas hésiter à redémarrer certains utilitaires qui ne pouvaient le faire d'eux-mêmes . 
Mais je n'étais pas certain, en ce faisant, que KillBox gardait cependant en mémoire la mission lui désignée dans la boîte "Full Path of File to Delete" ( je pensais que le message effaçait, en plus, la mémoire de cette mission ) 

Quant à " csqqk.exe " je disais bien "... on peut espérer qu'il est détruit ( ça m'étonne ) "; 
c'est pourquoi ( et dans l'ignorance de l'efficacité de l'astuce ) j'ai demandé à vérifier si ce fichier était encore visible ( bien que problablement caché ); suivi de "recommencer l'opération KillBox ).

Tu connaîs ainsi les étapes de mon raisonnement.

Merci pour cette supervision généreuse.
Bonne semaine à toi.

kesaco · Answer

bonjours afi et Qcoo1,
je viens de faire la recherche pour "csqqk.exe "et il n'y a rien.Donc je laisse tomber Killbox et je passe a l'étape suivant.

kesaco · Answer

bon j'ai 
_ deactivé la restauration du système
_  ouvert l'ordi en mode sans echec
_  doubleclic sur killbox
_  inserer la phrase C:\WINDOWS\system32\csqqk.exe 
_  Choisis l'option "Delete on reboot" 
 _ Cliqué sur la croix blanche sur fond rouge (Delete File)

je tombe toujours sur "PendingFileRenameOperationsRegistry Data has been Removed by External Process"

  _    j'ai fait  demarrer et arreter comme dit qc001 la:

" et Pour KillBox : lorsque cette erreur apparaît, il faut simplement redémarrer comme à l'habitude (via le bouton "Démarrer"). Ceci ne garanti pas que le fichier sera détruit par KillBox par contre. Mais le fichier existe :-) "

voila est ce que c'est bon? je peux continuer?

afideg · Answer

Relis le #34, nom de ..
Je disais 
3°- Ensuite, après le § 2° , et avant le § 3°, Réactive ta restauration système ainsi:Clic droit sur poste de travail puis, propriétés, tu cliques sur onglet restauration système 
tu décoches la case « désactiver la restauration » et appliquer>OK. 

•- Et poursuis la procédure


Conseil : Imprime les demandes et fais du collage ; ainsi tu as une vue d'ensemble et de synthèse

kesaco · Answer

ok merci

afideg · Answer

Allo ?

 < 39 > - VIRUS impossible de passer un antivirus
Ajouté par kesaco (06/11/2006 à 14:01 GMT+1)  
ok (j''etais entrain de coller le rapportde fixwearout) 


Poste ce rapport stp
Merci


Cette demande ne modifie en rien ce qui est demandé  .

Lyonnais92 · Answer

Bonjour kesacio,

salut afideg, avec ta permission :

Tu reprends les consignes du post 30, amendées, éventuellement par les posts suivants;

Killbox a t'il réussi à détruire le fichier csqqk.exe ?

Si tu as un rapport Fixwareouit, poste le.

Sinon, tu fais passer Fixwareout puis tu poursuis les points 3 et suivants du post 30.

Au fur et à mesure que tu as un log, tu postes une réponse et tu y mets ce log.

Bonne suite.

kesaco · Answer

bon je reprend a zéro depuis le #30 "killbox" avec la desactivation de la  restauration du système et je la remet pour Fix Wareaout,et je post le rapport.

kesaco · Answer

re 
voila j'ai fair maintenant exactement ce que afi m'avait mis en mp,ce qui est écrit en dessous  ensuite il ya le rapport de fix wearout


À faire maintenant , dans l'ordre, ET COMPLETEMENT . 

1°-Et fais ceci avant de poursuivre: Désactive la restauration système ainsi:clic sur la touche "Windows" + la touche "Pause" et tu as directement la page" Propriétés" > onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > OK 

2°- Telecharges Killbox sur ton Bureau : 
http://www.killbox.net/downloads/KillBox.exe 

)- Fais redémarrer l'ordinateur en mode sans échec, 
)- Lance Pocket Killbox (Double-clique killbox.exe.) 
)- dans la barre vide ( = dans la boîte "Full Path of File to Delete" ) entre ceci: (exactement) 
C:\WINDOWS\system32\csqqk.exe 
)- Choisis l'option "Delete on reboot" 
)- Clique sur la croix blanche sur fond rouge (Delete File). 

Si tu as ce message :"PendingFileRenameOperationsRegistry Data has been Removed by External Process", tu redémarres toi-même le PC. 
Sinon, tu poursuis comme ci-dessous: 
- Killbox va demander "File will be Removed on Reboot, Do you want to reboot now”è Yes/OUI 
- Une seconde fenetre te demande si tu veux redemarrer maintenant ècliques sur NO/NON 

3°- Relance FixWareout 
* clique sur Next, puis Install, 
puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. 
Il te sera demandé de redémarrer ton ordinateur, fais le ( donc, en mode normal ). 
Ton système mettra un peu plus de temps au démarrage, c'est normal. 
Quand ton système aura redémarré, suis les invites des messages. 

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt)

 
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please 
 
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2324032D2120-F60B-50B4-6FDA-BE307705{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\butmd
...

Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
C:\WINDOWS\SYSTEM32\FTP.EXE
 
»»»»» 
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMFCQ.EXE       61 022 2003-09-20
C:\WINDOWS\SYSTEM32\DMTUB.EXE       61 022 2003-09-20
 
Other suspects.
Directory of C:\WINDOWS\system32
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.

kesaco · Answer

aie ,je chicanne pas ,j'ai peur d'oublier des truc en plus j'ai plus d'encre pour imprimmer!
et en plus je recois toujours les messages apres avoir fait quelques chose
je continue

kesaco · Answer

voila j'ai fixé les objets sur hijackthis
je  controle avec virustotal
 j'ai pas trouvé C:\WINDOWS\SYSTEM32\DMCWY.EXE
je suis passé au suivant



STATUS: FINISHEDComplete scanning result of "SAGUI.exe", received in VirusTotal at 11.07.2006, 17:05:15 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.37 11.07.2006  no virus found 
Authentium 4.93.8 11.06.2006  no virus found 
Avast 4.7.892.0 11.07.2006  no virus found 
AVG 386 11.07.2006  no virus found 
BitDefender 7.2 11.06.2006  no virus found 
CAT-QuickHeal 8.00 11.07.2006  no virus found 
ClamAV devel-20060426 11.07.2006  no virus found 
DrWeb 4.33 11.07.2006  no virus found 
eTrust-InoculateIT 23.73.48 11.07.2006  no virus found 
eTrust-Vet 30.3.3181 11.07.2006  no virus found 
Ewido 4.0 11.07.2006  no virus found 
Fortinet 2.82.0.0 11.07.2006 suspicious 
F-Prot 3.16f 11.07.2006  no virus found 
F-Prot4 4.2.1.29 11.06.2006  no virus found 
Ikarus 0.2.65.0 11.07.2006  no virus found 
Kaspersky 4.0.2.24 11.07.2006  no virus found 
McAfee 4889 11.06.2006  no virus found 
Microsoft 1.1609  11.07.2006  no virus found 
NOD32v2 1.1857 11.07.2006  no virus found 
Norman 5.80.02 11.07.2006  no virus found 
Panda 9.0.0.4 11.07.2006  no virus found 
Sophos 4.11.0 11.07.2006  no virus found 
TheHacker 6.0.1.113 11.06.2006  no virus found 
UNA 1.83 11.06.2006  no virus found 
VBA32 3.11.1 11.07.2006  no virus found 
VirusBuster 4.3.15:9 11.07.2006 no virus found

kesaco · Answer

STATUS: FINISHEDComplete scanning result of "Cld2000.exe", received in VirusTotal at 11.07.2006, 17:19:01 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.37 11.07.2006  no virus found 
Authentium 4.93.8 11.07.2006  no virus found 
Avast 4.7.892.0 11.07.2006  no virus found 
AVG 386 11.07.2006  no virus found 
BitDefender 7.2 11.06.2006  no virus found 
CAT-QuickHeal 8.00 11.07.2006  no virus found 
ClamAV devel-20060426 11.07.2006  no virus found 
DrWeb 4.33 11.07.2006  no virus found 
eTrust-InoculateIT 23.73.48 11.07.2006  no virus found 
eTrust-Vet 30.3.3181 11.07.2006  no virus found 
Ewido 4.0 11.07.2006  no virus found 
Fortinet 2.82.0.0 11.07.2006  no virus found 
F-Prot 3.16f 11.07.2006  no virus found 
F-Prot4 4.2.1.29 11.06.2006  no virus found 
Ikarus 0.2.65.0 11.07.2006  no virus found 
Kaspersky 4.0.2.24 11.07.2006  no virus found 
McAfee 4889 11.06.2006  no virus found 
Microsoft 1.1609  11.07.2006  no virus found 
NOD32v2 1.1857 11.07.2006  no virus found 
Norman 5.80.02 11.07.2006  no virus found 
Panda 9.0.0.4 11.07.2006  no virus found 
Sophos 4.11.0 11.07.2006  no virus found 
TheHacker 6.0.1.113 11.06.2006  no virus found 
UNA 1.83 11.06.2006  no virus found 
VBA32 3.11.1 11.07.2006  no virus found 
VirusBuster 4.3.15:9 11.07.2006 no virus found

afideg · Answer

OK, 
c'est bon 
continue

kesaco · Answer

j'ai pas trouvé  C:\WINDOWS\System32\dmzyf.exe 
et j'ai pas trouvé c:\progra~1\avantb~1\Search.htm  mais en faisant "rechercher j'ai trouvé dans le résultat  search. htm  dan c:\programmefiles\avant browse

Lyonnais92 · Answer

Re,

C'est celui là : avantb~1 est une abréviation de avant browse

Scanne le chez virustotal.
@+

kesaco · Answer

ensuite la j'ai du mal a comprendre ce qu'il faut faire dans #31 "Pour CWS-Shredder au 5° "
j'ai télécharger  cws _Scredder mais apres?

afideg · Answer

Kesko

Ajoute ces deux-ci à la liste VirusTotal en cours

C:\WINDOWS\SYSTEM32\DMFCQ.EXE 
C:\WINDOWS\SYSTEM32\DMTUB.EXE 


Je quitte le forum un moment

kesaco · Answer

pour avt browse

STATUS: FINISHEDComplete scanning result of "Search.htm", received in VirusTotal at 11.07.2006, 18:04:29 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.37 11.07.2006  no virus found 
Authentium 4.93.8 11.07.2006  no virus found 
Avast 4.7.892.0 11.07.2006  no virus found 
AVG 386 11.07.2006  no virus found 
BitDefender 7.2 11.07.2006  no virus found 
CAT-QuickHeal 8.00 11.07.2006  no virus found 
ClamAV devel-20060426 11.07.2006  no virus found 
DrWeb 4.33 11.07.2006  no virus found 
eTrust-InoculateIT 23.73.48 11.07.2006  no virus found 
eTrust-Vet 30.3.3181 11.07.2006  no virus found 
Ewido 4.0 11.07.2006  no virus found 
Fortinet 2.82.0.0 11.07.2006  no virus found 
F-Prot 3.16f 11.07.2006  no virus found 
F-Prot4 4.2.1.29 11.06.2006  no virus found 
Ikarus 0.2.65.0 11.07.2006  no virus found 
Kaspersky 4.0.2.24 11.07.2006  no virus found 
McAfee 4890 11.07.2006  no virus found 
Microsoft 1.1609  11.07.2006  no virus found 
NOD32v2 1.1857 11.07.2006  no virus found 
Norman 5.80.02 11.07.2006  no virus found 
Panda 9.0.0.4 11.07.2006  no virus found 
Sophos 4.11.0 11.07.2006  no virus found 
TheHacker 6.0.1.113 11.06.2006  no virus found 
UNA 1.83 11.06.2006  no virus found 
VBA32 3.11.1 11.07.2006  no virus found 
VirusBuster 4.3.15:9 11.07.2006 no virus found

kesaco · Answer

la ya du nouveau!!

STATUS: FINISHEDComplete scanning result of "dmfcq.exe", received in VirusTotal at 11.07.2006, 18:12:37 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.37 11.07.2006  no virus found 
Authentium 4.93.8 11.07.2006 could be a corrupted executable file 
Avast 4.7.892.0 11.07.2006  no virus found 
AVG 386 11.07.2006  no virus found 
BitDefender 7.2 11.07.2006  no virus found 
CAT-QuickHeal 8.00 11.07.2006 (Suspicious) - DNAScan 
ClamAV devel-20060426 11.07.2006  no virus found 
DrWeb 4.33 11.07.2006 Trojan.DnsChange 
eTrust-InoculateIT 23.73.48 11.07.2006  no virus found 
eTrust-Vet 30.3.3181 11.07.2006 Win32/Alureon!generic 
Ewido 4.0 11.07.2006 Trojan.Small.fb 
Fortinet 2.82.0.0 11.07.2006 PossibleThreat 
F-Prot 3.16f 11.07.2006 Possibly a new variant of W32/new-malware!Maximus 
F-Prot4 4.2.1.29 11.06.2006 W32/new-malware!Maximus 
Ikarus 0.2.65.0 11.07.2006  no virus found 
Kaspersky 4.0.2.24 11.07.2006  no virus found 
McAfee 4890 11.07.2006  no virus found 
Microsoft 1.1609  11.07.2006  no virus found 
NOD32v2 1.1857 11.07.2006 a variant of Win32/Small.FB 
Norman 5.80.02 11.07.2006  no virus found 
Panda 9.0.0.4 11.07.2006 Trj/dmRandom.DX 
Sophos 4.11.0 11.07.2006  no virus found 
TheHacker 6.0.1.113 11.06.2006  no virus found 
UNA 1.83 11.06.2006  no virus found 
VBA32 3.11.1 11.07.2006 Trojan.DnsChange 
VirusBuster 4.3.15:9 11.07.2006 no virus found

Lyonnais92 · Answer

Re,


Tu fais
clic< < https://www.trendmicro.com/en_us/forHome.html >, puis tu cliques sur « remove coolwebsearch » puis tu cliques sur exécuter.

Puis de nouveau sur exécuter, tu acceptes la licence et tu cliques sur scan. En fin, tu cliques sur éditer un rapport.

Tu postes le rapport en réponse.
@+

kesaco · Answer

C:\WINDOWS\SYSTEM32\DMTUB.EXE  celui la je ne le trouve pas non plus.

kesaco · Answer

le rapport de CWShredder


 **** Run Keys ****

RUN: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot 
RUN: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe 
RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup 
RUN: [KBD] C:\HP\KBD\KBD.EXE 
RUN: [hpsysdrv] c:\windows\system\hpsysdrv.exe 
RUN: [snpstd] C:\WINDOWS\vsnpstd.exe 
RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
RUN: [WinampAgent] C:\Program Files\Winamp\winampa.exe 
RUN: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon 
RUN: [dmtes.exe] C:\WINDOWS\System32\dmtes.exe 
RUN: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized 
RUN: [NVIEW] rundll32.exe nview.dll,nViewLoadHook 
RUN: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe 
RUN: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO 
RUN: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe 
RUN: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe 


 **** Browser Helper Objects ****

BHO: [] C:\Program Files\Siber Systems\AI RoboForm\roboform.dll 
BHO: [SSVHelper Class] C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll 
BHO: [Windows Live Sign-in Helper] C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
BHO: [Google Toolbar Helper] c:\program files\google\googletoolbar2.dll 
BHO: [i-Nav IDN Resolver] C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

kesaco · Answer

je dois aller acheter 2 pizza (je reviens dans 1/2 heure maxi)

Lyonnais92 · Answer

Afideg,

je quitte le bureau.
 
Je ne reviendrai sur le site que plus tard.

Pour le malware, une référence réussie (en milieu de post, scan par virustotal et la suite) :
http://www.lavasoftsupport.com/lofiversion/index.php/t4011.html
@+

kesaco · Answer

je suis de retour , j'attend qu'on me dise ce que je dois faire maintenant.

Lyonnais92 · Answer

Re,

Tu relances la maneuvre avec Cwshredder mais, au lieu de cliquer sur scn tu cliques sur fix.

Si tu trouves un rapport, tu le postes.

Tu relances hijackThis et tu postes le rapport.
@+

kesaco · Answer

ok
en fait je ne sai pas si vous avez des horaires de bureau ou quoi parceque moi je suis chez moi et je m'absentesde temps en temps jamais a  la même heure
donc je continue

kesaco · Answer

on m'a demandé si je voulais refaire un scan pour le rapport : le voila. j'ai fais fix avant.

 **** Run Keys ****

RUN: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot 
RUN: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe 
RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup 
RUN: [KBD] C:\HP\KBD\KBD.EXE 
RUN: [hpsysdrv] c:\windows\system\hpsysdrv.exe 
RUN: [snpstd] C:\WINDOWS\vsnpstd.exe 
RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
RUN: [WinampAgent] C:\Program Files\Winamp\winampa.exe 
RUN: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon 
RUN: [dmtes.exe] C:\WINDOWS\System32\dmtes.exe 
RUN: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized 
RUN: [NVIEW] rundll32.exe nview.dll,nViewLoadHook 
RUN: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe 
RUN: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO 
RUN: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe 
RUN: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe 


 **** Browser Helper Objects ****

BHO: [] C:\Program Files\Siber Systems\AI RoboForm\roboform.dll 
BHO: [SSVHelper Class] C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll 
BHO: [Windows Live Sign-in Helper] C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
BHO: [Google Toolbar Helper] c:\program files\google\googletoolbar2.dll 
BHO: [i-Nav IDN Resolver] C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

kesaco · Answer

Logfile of HijackThis v1.99.1
Scan saved at 19:56:24, on 07/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
c:\progra~1\avantb~1\avant.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [dmtes.exe] C:\WINDOWS\System32\dmtes.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - c:\progra~1\avantb~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - c:\progra~1\avantb~1\AddToADBlackList.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - c:\progra~1\avantb~1\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - c:\progra~1\avantb~1\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Rechercher sur le Web... - c:\progra~1\avantb~1\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - c:\progra~1\avantb~1\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe

kesaco · Answer

vous êtes parti?

afideg · Answer

Souviens-toi

ces 015

O15 - Trusted Zone: *.isengrin@msn.com 
O15 - Trusted Zone: *.tiberaude@msn.com 
O15 - Trusted Zone: *.vraimystere@msn.com 

sont-elles des sites de confiance que tu as désignés ainsi ??

kesaco · Answer

oui je sais j'ai désigné ça comme des sites de confiance étant donné que ce sont nos adresses msn a la maison même si je n'aime pas msn du tout.
ya des choses bizzares la dedans?
au fait ce soir je prommet de pas partir subitement comme hier si vous êtes la bien sûre !
t'as vu tous les virus qu'il ya dans le# 63 ? je suis pas sortie d'affair moi!!

afideg · Answer

Boulepate

Il y a un rapport " diaghelp! " au # 7 déjà.
Kesako est occupée, elle le fera ensuite.
Mais je remarque, peut-être à tort, que ce genre de mutant  choisi des PC où Java n'est pas à jour.
Lire pour cela # 16.

merci


Pour Kesako

As-tu fais la manip que je t'ai demandée ?
Si oui, et si ça a été, fais la même chose avec 
C:\WINDOWS\System32\dmtes.exe
( écris bien une ligne, puis le fichier en deuxième ligne )

Ensuite relance HJT supprime cette 
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe 
Et relance pourposter un rapport HJT

Merci

kesaco · Answer

je compte faire la mise a jour apres "desinfection"
merci

kesaco · Answer

non pas encore mais je t'ai envoyé un mp ( pour un doute)j'attend ta réponse

kesaco · Answer

parti?

Qc001 · Answer

Salut afideg, kesaco, tout le monde :-)

J'aimerais avoir plus de temps, mais bon...

Lorsque Wareout est actif, ces cs***.exe et dm***.exe mutent à chaque démarrage, bien souvent. C'est ce qui arrive ici. Je ne vois pas de Gromozon ;-)

afideg : cette ligne dans le rapport >>

"Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please"

..signifie que la dernière mise à jour de l'outil date du 11 Août. C'est Ok.
==================================

kesaco : si ce n'est déjà fait, modifie ces options s'il te plaît :

Afin de voir tous les fichiers/dossiers cachés :

* Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
* Double-clique sur le "Poste de Travail"
* Du menu "Outils", clique Options des dossiers...
* De la nouvelle fenêtre, choisis l'onglet Affichage
* Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système
* Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés
* Décoche la case Masquer les extensions des fichiers dont le type est connu
* Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
-------------------------

Ce qu'il faut tenter à présent:

Repasser FixWareout, mais faire bien attention de fermer toutes les fenêtres actives sauf l'outil, y compris les fenêtres de navigateur (Avant, Internet Explorer, etc..) - du Poste de Travail - et de l'explorateur Windows.

Ensuite, tu démarres en mode Sans Échec :

Lance HijackThis! et clique "Do a system scan only" puis coche cette ligne:

O4 - HKLM\..\Run: [dmtes.exe] C:\WINDOWS\System32\dmtes.exe

Clique "Fix checked", puis ferme HijackThis!

Lance l'Explorateur Windows (clic droit sur "Démarrer" >> "Explorer"). Recherche puis supprime ces fichiers (si trouvés) :

C:\WINDOWS\System32\dmtes.exe
C:\WINDOWS\System32\dmfcq.exe
C:\WINDOWS\SYSTEM32\dmtub.exe

Ferme l'Explorateur. Redémarre en mode Normal. Passe ComboFix tel que suggéré.

Poste les rapports suivants :

- FixWareout
- Nouveau HijackThis!
- ComboFix

On va y arriver ! Courage... ce Wareout peut être une vraie peste...

@+

kesaco · Answer

bonjour tous
afibeg m'a demander de faire un truc ultra simple mais je n'y arrive pas;
je sature peut être 
je peut pas continuer si j'arrive pas afaire ça
alors je reviens quand j'aurais compris ce qu'il me demande

Qc001 · Answer

Kesaco,

Tu veux dire faire analyser le fichier dmtes.exe ?

Si oui, alors tu peux laisser tomber car c'est bel et bien un fichier Wareout (DNSChanger et autres noms qu'on lui donne...).

kesaco · Answer

eh oui c'est le mot  vidé (mais c'est pas a cause de l'informatique)
enfin.


Logfile of HijackThis v1.99.1
Scan saved at 01:35:37, on 08/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\System32\srksrv.exe
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
c:\progra~1\avantb~1\avant.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - c:\progra~1\avantb~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - c:\progra~1\avantb~1\AddToADBlackList.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - c:\progra~1\avantb~1\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - c:\progra~1\avantb~1\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Rechercher sur le Web... - c:\progra~1\avantb~1\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - c:\progra~1\avantb~1\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe

kesaco · Answer

j'espère que demain vous me direz a partir de ou je dois reprendre si j'ai pas rendu tout le monde depressif
bonne nuit a tous et surtout merci.

Qc001 · Answer

Bonjour kesaco :-)

J'espère que c'est le retour à la forme aujourd'hui ;-)

Je regarde ton plus récent log, et je constate que Wareout mute toujours, donc petit changement à apporter au post #89. Dans HijackThis!, tu devras plutôt fixer cette ligne :

O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe

..et supprimer le fichier suivant, en plus des autres :

C:\WINDOWS\System32\dmdvy.exe
-------------------------

Je te conseille d'imprimer les instructions du #89 et de celui-ci, ou bien simplement des les "copier/coller" dans un fichier texte (du Bloc-Notes par exemple), afin de pouvoir les consulter en mode Sans Échec. Je te demande, au #89, de fermer toutes les fenêtres actives lorsque tu passeras FixWareout : ceci est extrêmement important...

Le secret de la réussite : tuer Wareout avec l'outil FixWareout, et ensuite tu pourras supprimer les fichiers que je t'ai indiqués du mode Sans Échec. Il faut également se souvenir que les fichiers responsables peuvent muter à chaque démarrage lorsque l'infection est active, alors à nous de bien surveiller les prochains logs.

Fais le #89.. avec modifs indiquées ci-haut :-)

Bon succès, et surtout bon courage ! Nous allons tous/toutes y arriver..

@+

Lyonnais92 · Answer

Bonjour,

Kesaco, je ne sais pas si tu as suivi les échanges entre les helpeurs, mais il y a un point que tu dois avoir en tête.

La bestiole "mute". Ca veut dire que à (presque) chaque démarrage, le nom du fichier infecté change.

En conséquence, sauf si le traitement te dit de le faire, il ne faut pas arrêter et redemamrer ton ordi. Même le soir. 

Ceci ne durera que tant que on aura pas éradiquer wareout (la sale bestiole qui mute). Après, tu pourras de nouveau faire comme tu as l'habitude.

Conséquence immédiate, avant de lancer la procédure de Qc001 au post précédent, tu lances HijackThis. Si tu vois encore la ligne 

O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe
tu poursuis.

Sinon, tu postes le nouveau log que l'on puisse t'indiquer un fichier de plus à essayer de détruire.

Bon courage, ça progresse.
@+

afideg · Answer

Bonjour à tous, et merci Pour Kesako, Ignore tout ce qui est écrit plus haut ( c'est plus simple pour toi ) Voici ce qui est dit, en y apportant les modifications et ajouts nécessaires et utiles pour bonne compréhension du boulot. Merci à Qc001 et à Lyonnais 1- Afin de voir tous les fichiers/dossiers cachés : * Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. * Double-clique sur le "Poste de Travail" * Du menu "Outils", clique Options des dossiers... * De la nouvelle fenêtre, choisis l'onglet Affichage * Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système * Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés * Décoche la case Masquer les extensions des fichiers dont le type est connu * Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. ------------------------- 2- Ce qu'il faut tenter à présent: Repasser FixWareout, mais faire bien attention de fermer toutes les fenêtres actives sauf l'outil, y compris les fenêtres de navigateur (Avant, Internet Explorer, etc..) - du Poste de Travail - et de l'explorateur Windows. Je te demande,de fermer toutes les fenêtres actives lorsque tu passeras FixWareout : ceci est extrêmement important... 3- Ensuite, tu démarres en mode Sans Échec : 4- Lance HijackThis! et clique "Do a system scan only" puis coche cette ligne: O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe Clique "Fix checked", puis ferme HijackThis! 5- Lance l'Explorateur Windows (clic droit sur "Démarrer" >> "Explorer"). Recherche ( via la collonne de gauche) puis supprime ces fichiers (si trouvés) : C:\WINDOWS\System32\dmtes.exe C:\WINDOWS\System32\dmfcq.exe C:\WINDOWS\SYSTEM32\dmtub.exe C:\WINDOWS\System32\dmdvy.exe 6- Ferme l'Explorateur. Redémarre en mode Normal. 7- Passe ComboFix tel que suggéré. < 83 > par boulepate62 (07/11/2006 à 21:29 GMT+1) un petit rapport combo pour voir le ventre de la bête . Telecharge ça: < http://download.bleepingcomputer.com/sUBs/combofix.exe > Appuyes sur "Y" pour continuer . Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici stp 8- Poste les rapports suivants : - FixWareout - Nouveau HijackThis! - ComboFix On va y arriver ! Courage... ce Wareout peut être une vraie peste... Le secret de la réussite : tuer Wareout avec l'outil FixWareout, et ensuite tu pourras supprimer les fichiers que je t'ai indiqués ( à partir )du mode Sans Échec. Il faut également se souvenir que les fichiers responsables peuvent muter à chaque démarrage lorsque l'infection est active, alors à nous de bien surveiller les prochains logs. < 96 > -par Lyonnais92 (08/11/2006 à 09:41 ) Bonjour Kesaco, Il y a un point que tu dois avoir en tête: « La bestiole "mute". Ca veut dire que à (presque) chaque démarrage, le nom du fichier infecté change. » En conséquence, sauf si le traitement te dit de le faire, il ne faut pas arrêter et redemamrer ton ordi. Même le soir. Ceci ne durera que tant que on aura pas éradiquer wareout (la sale bestiole qui mute). Après, tu pourras de nouveau faire comme tu as l'habitude. Bon courage Bonne journée.

kesaco · Answer

bonjours voila le dernier rapport de hijackthis pour 
cd c:\windows\system32\ 
del wdfmgr.exe

Logfile of HijackThis v1.99.1
Scan saved at 12:41:18, on 08/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [dmjxn.exe] C:\WINDOWS\System32\dmjxn.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

Lyonnais92 · Answer

Re,

au point 5 du post 97, dans les fichiers à détruire si tu les trouves, tu ajoutes :

C:\WINDOWS\System32\dmjxn.exe 

Mais la première étape, après le point1 du 97, c'est de passer Fixwareout, tout fermé.

@+

PS Et, lorsque tu fixes avec hijackThis, tu fixes la ligne 04 avec ce fichier, celle qui est indiquée avec dmdvy.exe n'existera plus.

kesaco · Answer

uen question idiote :
qaud on me dit de fermer toutes les fenêtres pour passer Fixwareaout ,ne vaut t'il ps mieux faire cela hors connexion ? (fenêtres femés?)

kesaco · Answer

re bonjour
hors connexion et fenêtre femé donc ,j'ai passé wareout dont voila le rapport
mais quand j'ai voulu fixé la ligne q'on m'a indiqué sur hijachthis
c'est dire  "O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe "
 celle ci n'existe plus .
Ma question est de savoir si je peux fixer la ligne qui change a chaque redemarrage sans vous poser la question avant ,car j'ai bien vu ou c'etais .la maintenant c'est " dmper.exe.
ensuite je supprime es fichiers via l'explorateur.


 
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please 
 
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\}D7C6FEEFB918-BD4B-C184-C530-F2588DE9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\ucrmd
...

Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
C:\WINDOWS\SYSTEM32\FTP.EXE
 
»»»»» 
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMRCU.EXE       61 022 2003-09-20
 
Other suspects.
Directory of C:\WINDOWS\system32
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.




Logfile of HijackThis v1.99.1
Scan saved at 13:52:32, on 08/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [dmper.exe] C:\WINDOWS\System32\dmper.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

Lyonnais92 · Answer

Re,

j'en étais arrivé à la même conclusion que toi : qu'il faudrait opeut être que tu trouves toute seule la ligne et le fichier à fixer/détruire en mode sans échec.

Donc 

fixewareout

passage en sans échec

hijackthis pour trouver la ligne et la fixer

destruction du fichier

retour en mode normal

hijacjthis de contrôle;

Si plus de ligne 04 du type dm@@@.exe, tu continues, sinon, tu reviens avec l'info. J'ai déjà une idée de ce que je te proposerai dans ce cas.

@+

Qc001 · Answer

Bonjour les zami(e)s :-)

Effectivement, la "prochaine étape" consistait à impliquer kesaco dans l'identification des fichiers mutants, et le "fix" de ceux-ci (ligne dans HijackThis! + suppression du fichier en Sans Échec, en passant FixWareout à chaque fois ;-))

Je n'ai jamais vu cette bestiole résister aussi farouchement... mais on l'aura :-)

@+

Lyonnais92 · Answer

Bonjour Qc001,

Beau temps au Québec ou sur la côte Est des USA ce matin ?

Mon idée en cas d'échec était de passer tout de suite en sans échec, de lancer Fixwareout, puis HijackThis puis la suppression.

Mais je ne sais pas comment Ficwareout réagit en mode sans échec.
@+
PS Je n'ai pas encore "vu" Afideg Aujourd'hui, c'est pour cela que j'interviens pour faire avancer.

kesaco · Answer

re apres 1 heure a fermé ouvrir l'ordi( au moins je saurais faire ça!!)

les rapport dans l'ordre 

 
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please 
 
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\}5D9AC44A8D81-3B38-6A94-0FF2-8B1C10DB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\aetmd
...

Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
C:\WINDOWS\SYSTEM32\FTP.EXE
 
»»»»» 
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMTEA.EXE       61 022 2003-09-20
 
Other suspects.
Directory of C:\WINDOWS\system32
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.



Logfile of HijackThis v1.99.1
Scan saved at 15:28:11, on 08/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)



Propri‚taire - 06-11-08 15:32:32,29    Service Pack 1
ComboFix 06.10.19 - Running from: "C:\Documents and Settings\Propri‚taire\Bureau"

(((((((((((((((((((((((((((((((   Files Created from 2006-10-08 to 2006-11-08  ))))))))))))))))))))))))))))))))))
 
 
2006-11-01	19:39	53,248	--a------	C:\WINDOWS\system32\Process.exe
2006-11-01	19:39	40,960	--a------	C:\WINDOWS\system32\swsc.exe
2006-11-01	19:39	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2006-11-01	19:39	135,168	--a------	C:\WINDOWS\system32\swreg.exe
2006-10-26	01:57	53,248	--a------	C:\WINDOWS\system32\ZLib.dll
2006-10-26	01:57	385,024	--a------	C:\WINDOWS\system32\FlamedLib.dll
2006-10-26	01:57	15,360	--a------	C:\WINDOWS\system32\INETFR.dll
2006-10-26	01:57	1,386,496	--a------	C:\WINDOWS\system32\msvbvm60.dll
2006-10-24	15:48	2,560	---------	C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-10-24	15:48	2,432	---------	C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-10-24	15:48	129,784	---------	C:\WINDOWS\system32\pxafs.dll
2006-10-24	05:03	188,416	--a------	C:\WINDOWS\system32\macdll.dll


((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))	


2006-11-08 15:27	--------	d--------	C:\Program Files\Hijackthis Version Fran‡aise
2006-11-08 14:56	--------	d--------	C:\Program Files\WinBar
2006-11-08 14:40	--------	d--------	C:\Documents and Settings\Propri‚taire\Application Data\Skype
2006-11-08 14:40	--------	d--------	C:\Documents and Settings\Propri‚taire\Application Data\Avant Browser
2006-11-08 14:27	--------	d--h-----	C:\Program Files\InstallShield Installation Information
2006-11-08 14:26	--------	d--------	C:\Program Files\Java
2006-11-08 14:08	--------	d--------	C:\Program Files\Mozilla Thunderbird
2006-11-07 19:32	--------	d--------	C:\Program Files\AxBx
2006-11-07 19:30	--------	d--------	C:\Program Files\Fichiers communs\Wise Installation Wizard
2006-11-04 15:32	--------	d--------	C:\Documents and Settings\Propri‚taire\Application Data\Prevx
2006-11-04 12:48	--------	d--------	C:\Program Files\Overnet
2006-11-01 20:56	--------	d--------	C:\Program Files\Fichiers communs\ODBC
2006-11-01 20:56	--------	d--------	C:\Program Files\Fichiers communs
2006-11-01 16:56	--------	d--------	C:\Program Files\CleanUp!
2006-11-01 08:14	--------	d--------	C:\Program Files\a-squared Free
2006-10-31 18:12	86094	--a------	C:\WINDOWS\BPMNT.dll
2006-10-31 18:12	71749	--a------	C:\WINDOWS\hcextoutput.dll
2006-10-31 18:12	176709	--a------	C:\WINDOWS	sc.exe
2006-10-31 18:12	1101904	--a------	C:\WINDOWS\vsapi32.dll
2006-10-31 15:42	--------	d--------	C:\Program Files\Google
2006-10-29 18:10	--------	d--------	C:\Program Files\eMule
2006-10-27 02:23	--------	d--------	C:\Program Files\Audacity
2006-10-26 13:47	--------	d--------	C:\Program Files\MP3List
2006-10-26 02:30	--------	d--------	C:\Program Files\Fichiers communs\Designer
2006-10-26 01:55	--------	d--------	C:\Program Files\DJ
2006-10-26 00:51	--------	d--------	C:\Program Files\mp3-explorer
2006-10-25 23:31	--------	d--------	C:\Program Files\WBFileManager
2006-10-25 23:15	--------	d--------	C:\Program Files\The GodFather
2006-10-24 16:02	--------	d--------	C:\Program Files\Winamp
2006-10-24 15:13	--------	d--------	C:\Program Files\DivX
2006-10-24 15:12	--------	d--------	C:\Program Files\Windows Media Player
2006-10-24 15:12	--------	d--------	C:\Program Files\Presario PC Help
2006-10-24 15:12	--------	d--------	C:\Program Files\Power IE
2006-10-24 15:12	--------	d--------	C:\Program Files\Picasa2
2006-10-24 15:12	--------	d--------	C:\Program Files\OutClock
2006-10-24 15:12	--------	d--------	C:\Program Files\Internet Explorer
2006-10-24 15:11	--------	d--------	C:\Program Files\Common Files
2006-10-24 15:11	--------	d--------	C:\Program Files\Avant Browser
2006-10-24 15:11	--------	d--------	C:\Program Files\Adobe
2006-10-24 05:03	--------	d--------	C:\Program Files\KC Softwares
2006-10-24 00:09	--------	d--------	C:\Program Files\GlobalList Audio
2006-10-21 22:33	--------	d--------	C:\Program Files\Fichiers communs\AOL
2006-10-20 02:47	--------	d--------	C:\Documents and Settings\Propri‚taire\Application Data\MSN6
2006-10-12 21:14	--------	d---s----	C:\Documents and Settings\Propri‚taire\Application Data\Microsoft
2006-10-12 19:08	--------	d--------	C:\Program Files\MSN Messenger
2006-10-12 19:08	--------	d--------	C:\Program Files\Fichiers communs\Microsoft Shared
2006-10-08 23:58	--------	d--------	C:\Program Files\DigiCat
2006-09-25 16:45	666240	--a------	C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:40	87424	--a------	C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 16:40	85952	--a------	C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 16:39	36176	--a------	C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 16:39	16352	--a------	C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 16:37	90112	--a------	C:\WINDOWS\system32\AVASTSS.scr
2006-09-25 16:37	24560	--a------	C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-20 21:07	--------	d--------	C:\Documents and Settings\Propri‚taire\Application Data\Google
2006-09-18 21:46	--------	d--------	C:\Program Files\Fichiers communs\Scanner
2006-09-16 23:31	--------	d--------	C:\Documents and Settings\Propri‚taire\Application Data\AOL
2006-09-15 05:10	--------	d--------	C:\Program Files\SpywareBlaster
2006-08-25 04:47	115880	---------	C:\WINDOWS\system32\pxinsi64.exe
 
 
((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun]
"Skype"="\"C:\Program Files\Skype\Phone\Skype.exe\" /nosplash /minimized"
"NVIEW"="rundll32.exe nview.dll,nViewLoadHook"
"Cld2000.exe"="C:\Program Files\Calendrier\Cld2000.exe"
"ccleaner"="\"C:\Program Files\CCleaner\ccleaner.exe\" /AUTO"
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe"
"Acme.PCHButton"="C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun]
"TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
  65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup"
"KBD"="C:\HP\KBD\KBD.EXE"
"hpsysdrv"="c:\windows\system\hpsysdrv.exe"
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
"WinampAgent"="C:\Program Files\Winamp\winampa.exe"
"Synchronization Manager"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,\
  73,74,65,6d,33,32,5c,6d,6f,62,73,79,6e,63,2e,65,78,65,20,2f,6c,6f,67,6f,6e,\
  00
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,00,00,f4,\
  03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
  00,00,01,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
  00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversionun]
"RoboForm"="\"C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe\""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversionun]
"RoboForm"="\"C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLogoff"=dword:00000000
"NoClose"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorerun]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 9.0 Icône AOL.lnk]
"path"="C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL 9.0 Icône AOL.lnk"
"backup"="C:\WINDOWS\pss\AOL 9.0 Icône AOL.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\PROGRA~1\AOL9~1.0\aoltray.exe -check"
"item"="AOL 9.0 Icône AOL"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL Compagnon.lnk]
"path"="C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL Compagnon.lnk"
"backup"="C:\WINDOWS\pss\AOL Compagnon.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\PROGRA~1\AOLCOM~1\COMPAN~1.EXE /s"
"item"="AOL Compagnon"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
"path"="C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk"
"backup"="C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^MyWebSearch Email Plugin.lnk]
"path"="C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MyWebSearch Email Plugin.lnk"
"backup"="C:\WINDOWS\pss\MyWebSearch Email Plugin.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE "
"item"="MyWebSearch Email Plugin"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^Aide mémoire.lnk]
"path"="C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\Aide mémoire.lnk"
"backup"="C:\WINDOWS\pss\Aide mémoire.lnkStartup"
"location"="Startup"
"command"="C:\PROGRA~1\AIDEMM~1\TrayIcon.exe "
"item"="Aide mémoire"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^WKCALREM.LNK]
"path"="C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\WKCALREM.LNK"
"backup"="C:\WINDOWS\pss\WKCALREM.LNKStartup"
"location"="Startup"
"command"="C:\PROGRA~1\FICHIE~1\MICROS~1\WORKSS~1\WkCalRem.exe "
"item"="WKCALREM"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acme.PCHButton]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="PCHButton"
"hkey"="HKCU"
"command"="C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcxMonitor]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="ALCXMNTR"
"hkey"="HKLM"
"command"="ALCXMNTR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Amigo]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="amigo"
"hkey"="HKLM"
"command"="c:\progra~1\amigo2~1\amigo.exe timer"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BEWHA.EXE]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="BEWHA"
"hkey"="HKLM"
"command"="C:\Program Files\BossEveryware\BEWHA.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CamMonitor]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="hpqcmon"
"hkey"="HKLM"
"command"="c:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Internet Eraser]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="InternetEraser"
"hkey"="HKCU"
"command"="C:\Program Files\PrivacyEraser Computing\Free Internet Eraser\InternetEraser.exe /Startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="GoogleDesktop"
"hkey"="HKCU"
"command"="\"C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe\" /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="AOLHostManager"
"hkey"="HKLM"
"command"="C:\Program Files\Fichiers communs\AOL\1132532196\ee\AOLHostManager.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="hkcmd"
"hkey"="HKLM"
"command"="C:\WINDOWS\System32\hkcmd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon05]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="hphmon05"
"hkey"="HKLM"
"command"="C:\WINDOWS\System32\hphmon05.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\WINDOWS\system32\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nosign_JL2005]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="nosign TRUST"
"hkey"="HKLM"
"command"="nosign TRUST"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg
wiz]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /installquiet /keeploaded /nodetect"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Overnet]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="eDonkey2000"
"hkey"="HKLM"
"command"="C:\Program Files\Overnet\eDonkey2000.exe -t"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="PicasaMediaDetector"
"hkey"="HKLM"
"command"="C:\Program Files\Picasa2\PicasaMediaDetector.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PS2]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="ps2"
"hkey"="HKLM"
"command"="C:\WINDOWS\system32\ps2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="RECGUARD"
"hkey"="HKLM"
"command"="C:\WINDOWS\SMINST\RECGUARD.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoboForm]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="RoboTaskBarIcon"
"hkey"="HKCU"
"command"="\"C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="swdoctor"
"hkey"="HKCU"
"command"="\"C:\Program Files\Spyware Doctor\swdoctor.exe\" /Q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="sgtray"
"hkey"="HKLM"
"command"="\"C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe\" /r"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WildTangent CDA]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="cdaEngine0500"
"hkey"="HKLM"
"command"="\"C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe\" /startup \"C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\Program Files\Winamp\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UPS"=dword:00000003
"kavsvc"=dword:00000002
"Fax"=dword:00000003

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]	
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS	asks\Maintenance en 1 clic.job

Completion time: 06-11-08 15:34:24.50 
C:\ComboFix.txt ... 06-11-08 15:34

kesaco · Answer

moi je ne vois plus de dm machin chose. peut etre pas bien regardé aussiJ'ai fait une synthése de tout ce qu'on m'a dit avant sur un bloc note que voila. mais j'ai suivi le conseil de afi qui me disait qu'il fallais desactiver la restauration du système. 2- Ce qu'il faut tenter à présent: Repasser FixWareout, mais faire bien attention de fermer toutes les fenêtres actives sauf l'outil, y compris les fenêtres de navigateur (Avant, Internet Explorer, etc..) - du Poste de Travail - et de l'explorateur Windows. Je te demande,de fermer toutes les fenêtres actives lorsque tu passeras FixWareout : ceci est extrêmement important... 3- Ensuite, tu démarres en mode Sans Échec : 4- Lance HijackThis! et clique "Do a system scan only" puis coche cette ligne: O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe Clique "Fix checked", puis ferme HijackThis! 5- Lance l'Explorateur Windows (clic droit sur "Démarrer" >> "Explorer"). Recherche ( via la collonne de gauche) puis supprime ces fichiers (si trouvés) : C:\WINDOWS\System32\dmtes.exe C:\WINDOWS\System32\dmfcq.exe C:\WINDOWS\SYSTEM32\dmtub.exe C:\WINDOWS\System32\dmdvy.exe 6- Ferme l'Explorateur. Redémarre en mode Normal. 7- Passe ComboFix tel que suggéré. < 83 > par boulepate62 (07/11/2006 à 21:29 GMT+1) un petit rapport combo pour voir le ventre de la bête . Telecharge ça: < http://download.bleepingcomputer.com/sUBs/combofix.exe > Appuyes sur "Y" pour continuer . Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici stp 8- Poste les rapports suivants : - FixWareout - Nouveau HijackThis! - ComboFix On va y arriver ! Courage... ce Wareout peut être une vraie peste... Le secret de la réussite : tuer Wareout avec l'outil FixWareout, et ensuite tu pourras supprimer les fichiers que je t'ai indiqués ( à partir )du mode Sans Échec. Il faut également se souvenir que les fichiers responsables peuvent muter à chaque démarrage lorsque l'infection est active, alors à nous de bien surveiller les prochains logs Je regarde ton plus récent log, et je constate que Wareout mute toujours, donc petit changement à apporter au post #89. Dans HijackThis!, tu devras plutôt fixer cette ligne : O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe ..et supprimer le fichier suivant, en plus des autres : C:\WINDOWS\System32\dmdvy.exe ------------------------- au point 5 du post 97, dans les fichiers à détruire si tu les trouves, tu ajoutes : C:\WINDOWS\System32\dmjxn.exe PS Et, lorsque tu fixes avec hijackThis, tu fixes la ligne 04 avec ce fichier, celle qui est indiquée avec dmdvy.exe n'existera plus. j'en étais arrivé à la même conclusion que toi : qu'il faudrait opeut être que tu trouves toute seule la ligne et le fichier à fixer/détruire en mode sans échec. Donc fixewareout passage en sans échec hijackthis pour trouver la ligne et la fixer destruction du fichier retour en mode normal hijacjthis de contrôle; Si plus de ligne 04 du type dm@@@.exe, tu continues, sinon, tu reviens avec l'info. J'ai déjà une idée de ce que je te proposerai dans ce cas.

kesaco · Answer

ah oui j'oubliais quand j'ai chercher les fichier dm dan sl'explorateur pour les supprimr j'ai rien trouvé.
merci

Lyonnais92 · Answer

Re,

Bravo, bravo et encore bravo.

Je ne le vois plus non plus.

On croise les doigts.

On fait un peu de ménage, ça peut pas nuire :

Ccleaner (je n'ai pas vérifié mais je suppose que on te l'a demandé), nettoyage et chercher puis réparer les erreurs du système;

Vide ta corbeille.

Je regarde pour la suite.

Afideg avait des idées. Mais il faut que je regarde.

@+

kesaco · Answer

c'est a vous tous  que je dis bravo bravo ( enfin afi,qc001, et vous )et merci. j'ai fait que ce que vous m'aviez demandé en enfonçant bien le clou pour que l'information arrive a mon cerveau!!!! (hier sans le vouloir j'ai rendu dingue afideg  et moi même pour une histoire de lien que je ne pensais pas a ouvrir et que je croyais être la phrase a déplacer sur le bureau..... alors que c'étais l'exemple c'etais un blocage de ma part)

mais j'ai vu je sait plus ou je crois sur aun rapport de total virus #65 qu'il y avait des trojan et pleins  d'autre trucs.

je dois partir jusqu'a ce soir
@toute

Lyonnais92 · Answer

Re,

Non non, je crois qu'on maintiendra tous "bravo à toi" : c'est toi qui es toute seule devant ton ordi et qui te dépatouille avec.

Pour la suite, on repart au post 66 avec cwshredder pour éradiquer navi machin chose.

Tu relances cwshredder et tu postes le log en réponse.

Tu y ajoutes un log HijackThis.

Pour les trojans du post 65, c'était le fichier que Fixwareout vient de tuer . Ca, c'est réglé (on espère, sinon, on sait faire).

On en profite pour passer un petit coup e bitdefender on line (voir post 12 si tu as oublié), un petit coup de ewidoo (devenu AVG antispyware, tu fais une mise à jour ), vérifier que le parefeu est actif, l'antivirus à jour.

Tu postes les rapports des 2 (bit defender et ewido-avg ) dans ta réponse.

@+

Qc001 · Answer

Y a pas juste les doigts que je croise... (!!).

Je ne me prononce pas tout de suite, mais c'est plutôt encourageant :-)

Petite question pour Lyonnais : j'ai peine à tout relire, alors pourrais-tu me pointer vers ce "navi machin chose" que tu mentionnes ? je suis curieux..

Merci ;-)

afideg · Answer

Bonjour  à vous tous,

1°- Merci Lyonnais d'avoir accepté de faire tampon en mon absence.

2°- Pour Qc001

Cela se passe au premier HJT # 11

-R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll 
-O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll 
-O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) 
-O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) 
-O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll 
-O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll 

Voici ce que j'en disais :
Difficile de se décider lol 
Regarde, ce sont des clés analogues : 
{CE000996-A58C-4441-8938-744CD72AB27F} 
{CE000994-A58C-4441-8938-744CD72AB27F} 
{CE000992-A58C-4441-8938-744CD72AB27F} 

Et voici tout ce que je trouve: 

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ==> 
Se reporter à cette adresse pour les R3:< http://www.siena.edu/antivirus/spyware/cws.asp > ==> CoolWebsearch Browser Hijacker 
( Je devrai peut-être réclamer d'exécuter CWSShredder ??? ) 

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ==> Verisign i-Nav / i-nav_4_*_*.dll (* = digit) / L BHO 

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) => Related to VeriSign Note: File is located under C:\Program Files\VeriSign\i-Nav 

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) => Related to VeriSign Note: File is located under C:\Program Files\VeriSign\i-Nav 

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ==> pas reconnue par castleCops + No name 

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ==> pas reconnue par castleCops 

Il y a pas mal de divergence , lol


3°- Kesako a dû , entretemps, mettre à jour Java ( 14H26 ? --> j'attends confirmation de l'heure )
Je reste sceptique au vu du rapport ComboFix :
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 
"item"="jusched" 
"hkey"="HKLM" 
"command"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" 
"inimapping"="0" 

à suivre.

4°- Je lui ai fait supprimer le fichier " wdfmgr.exe " ( qui à ce moment ne se voyait pas en 023.
( MS_Update Check X wdfmgr.exe Added by the W32/AGOBOT-TB WORM! ) une saleté des mises à jour Windows.
Question à Qc001 : Je ne suis pas chaud de garder FrameWork sur lePC. C'est un avis partagé aussi sur Zebulon. Qu'en penses-tu ?

Ça ,  " wdfmgr.exe " + mise à jour Java ( si elle était confirmée ) + désactivation de la restauration système, aurait-il pu influencer ?
En tout cas, c'était une ligne de conduite que je m'étais imposée.

À propos de mise à jour, il faudra que Kesako installe le SP2 ( à voir ) y compris réexaminer sa protection pare-feu + anti-virus.

Merci.
Je viens de rentrer; je n'ai pas tout lu .

5°- Je n'oublie pas mon "vieu bison boiteu"; il m'a beaucoup aidé et appris. Merci

Lyonnais92 · Answer

Re, Pour QC001 et Afideg Il apparait à 3 endroits dans le log HijackThis, 2 fois dans la liste des runnings process, 1 fois en R3 (lignes en gras dans le début du log HijackThis du post 105). Logfile of HijackThis v1.99.1 Scan saved at 15:28:11, on 08/11/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\Program Files\VeriSign\NAVI aviagent.exe C:\WINDOWS\System32\srksrv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\HP\KBD\KBD.EXE C:\windows\system\hpsysdrv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Calendrier\Cld2000.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\Program Files\WinBar\WinBar.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe C:\Program Files\Alwil Software\Avast4\setup\avast.setup C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm oboform.dll ______________________________________________________ La première mention d'éradication est faite au point 5 du post 30 (les 4 premièrs sont liés de près ou de loin à Fixwareout) 5°- Pour cette R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll The free version is available for download here: < https://store.trendmicro.com/store?Action=DisplayProductDetailsPage&Locale=en_US&OfferID=849373009&SiteID=tmamer&pgm=13852200&productID=104924800&srcID=TMASYtoTAV_UnknownEOL_19_95 > Tu as ceci: « Trend Micro™ CWShredder™ Version 2.19 is the latest defense against the new Cool Web Search variants, and ….[ click here to learn more ]  tu cliques sur l’entre crochet ici, ou sur la page en cours. Au pied de la nouvelle page qui s’ouvre, tu cliques sur l’icône « Free trend micro CWSShredder » Au pied de la nouvelle page qui s’ouvre, tu cliques sur « remove coolwebsearch » . Le canned speech est simplifié au post 31 : Pour CWS-Shredder au 5° Ceci est plus simplement dit: clic< < https://www.trendmicro.com/en_us/forHome.html >, puis tu cliques sur « remove coolwebsearch » ______________________________________________________ Le résultat de la première exécution est visible au post 68 VIRUS impossible de passer un antivirus par kesaco (07/11/2006 à 18:26 GMT+1) le rapport de CWShredder **** Run Keys **** RUN: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot RUN: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup RUN: [KBD] C:\HP\KBD\KBD.EXE RUN: [hpsysdrv] c:\windows\system\hpsysdrv.exe RUN: [snpstd] C:\WINDOWS\vsnpstd.exe RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe RUN: [WinampAgent] C:\Program Files\Winamp\winampa.exe RUN: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon RUN: [dmtes.exe] C:\WINDOWS\System32\dmtes.exe RUN: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized RUN: [NVIEW] rundll32.exe nview.dll,nViewLoadHook RUN: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe RUN: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO RUN: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe RUN: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe **** Browser Helper Objects **** BHO: [] C:\Program Files\Siber Systems\AI RoboForm oboform.dll BHO: [SSVHelper Class] C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll BHO: [Windows Live Sign-in Helper] C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll BHO: [Google Toolbar Helper] c:\program files\google\googletoolbar2.dll BHO: [i-Nav IDN Resolver] C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll les consignes étaient au post 66 (je les mentionne car je ne suis pas sur qu'elles soient correctes) Tu fais clic< < https://www.trendmicro.com/en_us/forHome.html >, puis tu cliques sur « remove coolwebsearch » puis tu cliques sur exécuter. Puis de nouveau sur exécuter, tu acceptes la licence et tu cliques sur scan. En fin, tu cliques sur éditer un rapport. ______________________________________________________ Deuxième utlisation avec consignes du post 72 Tu relances la maneuvre avec Cwshredder mais, au lieu de cliquer sur scan tu cliques sur fix. Si tu trouves un rapport, tu le postes. Résltat au post 74 : on m'a demandé si je voulais refaire un scan pour le rapport : le voila. j'ai fais fix avant. **** Run Keys **** RUN: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot RUN: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup RUN: [KBD] C:\HP\KBD\KBD.EXE RUN: [hpsysdrv] c:\windows\system\hpsysdrv.exe RUN: [snpstd] C:\WINDOWS\vsnpstd.exe RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe RUN: [WinampAgent] C:\Program Files\Winamp\winampa.exe RUN: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon RUN: [dmtes.exe] C:\WINDOWS\System32\dmtes.exe RUN: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized RUN: [NVIEW] rundll32.exe nview.dll,nViewLoadHook RUN: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe RUN: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO RUN: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe RUN: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe **** Browser Helper Objects **** BHO: [] C:\Program Files\Siber Systems\AI RoboForm oboform.dll BHO: [SSVHelper Class] C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll BHO: [Windows Live Sign-in Helper] C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll BHO: [Google Toolbar Helper] c:\program files\google\googletoolbar2.dll BHO: [i-Nav IDN Resolver] C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll Quand Késaco écrit qu'elle a fait fix avant, je pense qu'elle veut dire qu'elle a exécuté le programme en mode fix dans un premier temps puis en mode scan pour obtenir un rapport ensuite. ______________________________________________________ Je pensais, j'avais en tête ces rapports, que la ligne était en 02 BHO et non en R3. Il faudrait la fixer par HijackThis avant de passer Cwshredder ? Depuis, on est exclusivement sur la réusite de Fixwareout. ______________________________________________________ J'espère que c'est ce que tu attendais et que je n'ai pas fait trop long. @+

afideg · Answer

Bonsoir Lyonnais

1°- Je te suis pleinement ici:

« Deuxième utlisation avec consignes du post 72 
Tu relances la maneuvre avec Cwshredder mais, au lieu de cliquer sur scan tu cliques sur fix. 
Si tu trouves un rapport, tu le postes. 
Résltat au post 74 : 
on m'a demandé si je voulais refaire un scan pour le rapport : le voila. j'ai fais fix avant.  »

Effectivement, j'avais comparé les deux rapports CWShredder #68 et # 74 = IDENTIQUES ; ce qui m'avait fait réserver la même remarque que Lyonnais à soumettre à Kesako, pour en avoir la cœur net.

C'est un peu de ma faute; en effet, dans la formulation de ma demande #72 ( alors que je possédais le rapport #68 ) de relancer CWShredder " mais, au lieu de cliquer sur scan tu cliques sur fix " , j'ajoutais bêtement "  Si tu trouves un rapport, tu le postes " ne sachant absolument pas si cette manipulation du FIX autorisait la production d'un rapport témoin.

Je ne le sais toujours pas.

2°- Par contre je ne te suis pas là :

« Je pensais, j'avais en tête ces rapports, que la ligne était en 02 BHO et non en R3. Il faudrait la fixer par HijackThis avant de passer Cwshredder ? » 

De quoi parles-tu ? ( C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ) ? Mais que veux-tu dire ?

Veux-tu demander s'il faut d'abord fixer une ligne ( encore fallait-il bien la choisir = trop de divergences à leur analyse ) avant de lancer CWShredder ?
Quid à propos de mode sans échec et de connexion Internet ?

Merci mon ami
Al.

afideg · Answer

Qc001 et ....

Correction du # 112 § 3°-

Kesako a bien mis à jour Java ( HJT de 15H38 ):

- O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll 
- O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll 

Je vais lui demander de faire une " correction des erreurs registres ", et supprimer lignes inutiles HJT.

J'ai lu trop rapidement.

PS: Comment interprêter ComboFix SVP ? MERCI.

afideg · Answer

Kesako,

Veux-tu bien lancer  CCleaner : 
< https://www.01net.com/404/ > ,  
pour une suppression des incohérences du registre : 

• Clique sur l'icône "Erreurs" situés dans la marge à gauche. 
• Puis clique sur "Chercher les erreurs" 
• Patiente pendant que CCleaner scan ton registre. 

• Une fois le scan terminé, et avant de cliquer sur "Réparer les erreurs sélectionnées", il faut absolument " effectuer une sauvegarde du registre" ( comme proposé par un message affiché ). 

• Tu peux alors cliquer ensuite sur "Corriger les erreurs". 
• Recommencer jusqu’à qu’il n’y ait  plus d’erreurs détectées. 

Demande s'il y a doute.

Merci

Lyonnais92 · Answer

Bonsoir Qc001 et Afideg,

Je viens de regarder de nouveau Navi-sign.

Je suis allé un peu vite, de 2 façons :

- il y a une 02 BHO, une 08 et une 09 et même une 023 liées à ce logiciel en plus des 3 mentions données ci-dessus.

- Les fichiers semblent parfaitement légitimes (sauf si Késaco nous dit qu'elle n'a jamais installé ce logiciel).
@+

kesaco · Answer

j'ai fait la mise a jour de java vers 15h et j'ai reparer les erreurs avec ccleaner (+sauvegarde)
je suis revenu 15 mn chez moi ,je dois repartir et reviendrais vers 21h30.
en attendant je lance un scan debit defender comme dit au#110 parceque c'est un peu long apres je continue avec ewido

grand merci a tous

Qc001 · Answer

Ouff...lol..

Merci à vous deux (afideg et Lyonnais) pour les explications détaillées :-)

Ok, pour Verisign : tout à fait légitime. Une petite recherche avec ce CLSID pointe vers CastleCops :
http://www.castlecops.com/tk558-i_nav_4_dll_digit.html

Plus d'infos ici :
http://www.idnnow.com/index.jsp?
--------------------

Perso, je n'utilise plus CWShredder depuis que Merijn l'a vendu à InterMute, qui a son tour a été acheté par Trend Micro. L'outil ne fais plus rien de remarquable, selon moi.. Des scanneurs tels Ewido (AVG-AS) font très bien l'affaire avec des infections CWS mineures. About:Buster (de RubbeR DuckY) peut toujours servir pour les fameux "About Blank - StartPage", qui sont quasi inexistants aujourd'hui.
--------------------

Restauration système : je préfère laisser les points de restau jusqu'à la toute fin d'une désinfection, donc lorsque la bécane est propre. Là je demande de créer un nouveau point et de supprimer tous les anciens. La raison est simple : si un fix tourne mal, il vaut mieux restaurer avec des fichiers infectés que de se retrouver sans restauration, ce qui pourrait être critique. On peut aisément désinfecter à nouveau, avec un point de restau infecté, mais on ne peut rien si ne pouvons restaurer (Restau vide). Pourquoi alors les compagnies d'antivirus nous disent, haut et fort, de désactiver la restau avant de désinfecter ? Mon opinion, non confirmable, est la suivante : ils ne veulent pas de plaintes... car leurs outils ne peuvent désinfecter les fichiers  en restau (en mode normal) ; ceux-ci sont protégés par Windows :-)
--------------------

wdfmgr.exe est lié à Windows Media Player 10. Mais ce n'est pas évident à dépister. Le "worm" qui peut afficher le même fichier, au même endroit, est accompagné de clés (lignes O4) du nom de MS_Update Check X. La O23 confirme ici que c'est WMP 10.
---------------------

Comment interpréter ComboFix ? lol... y faut avoir accès à un site-école, où sUBs lui-même explique comment faire... Il a étalé le tout sur 2 ou 3 posts bien remplis ;-)
On peut se débrouiller avec Google par contre

Voilou, voilà :-)
================

kesaco : désolé pour les petits dérapages ;-)

Tu peux poster ton rapport de BitDefender, et un nouveau HijackThis! quand tu veux !

@+

kesaco · Answer

bonsoir a tous
le rapport de bit defender
BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Wed, Nov 08, 2006 - 22:27:01
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 02:01:50
 
Fichiers
 557120
 
Directoires
 8317
 
Secteurs de boot
 3
 
Archives
 23161
 
Paquets programmes
 119618
 
  
  
 
Résultats
 
Virus identifiés
 1
 
Fichiers infectés
 2
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 2
 
  
  
 
Info sur les moteurs
 
Définition virus
 313199
 
Version des moteurs
 AVCORE v1.0 (build 2355) (i386) (Sep 25 2006 13:46:24)
 
Analyse des plugins
 13
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\archives jeux\spacefighterweb.swf.zip=>spacefighterweb.swf=>[SWF command]
 Infecté par: Trojan.SwfDL.A
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\archives jeux\spacefighterweb.swf.zip=>spacefighterweb.swf=>[SWF command]
 Echec de la désinfection
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\archives jeux\spacefighterweb.swf.zip=>spacefighterweb.swf=>[SWF command]
 Supprimé
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\archives jeux\spacefighterweb.swf.zip=>spacefighterweb.swf
 Echec de la mise à jour
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\spacefighterweb.swf=>[SWF command]
 Infecté par: Trojan.SwfDL.A
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\spacefighterweb.swf=>[SWF command]
 Echec de la désinfection
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\spacefighterweb.swf=>[SWF command]
 Supprimé
 
C:\Documents and Settings\Propriétaire\Mes documents\HUMOUR2006\spacefighterweb.swf
 Echec de

kesaco · Answer

ewido arrive dans 5 ,6 minutes

kesaco · Answer

la je poste un rapport de a2 squared que m'afi m'a demandé par mp  et je passe a ewido 
Version - a-squared Free 2.1

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan:	08/11/2006 22:43:27

C:\Program Files\overnet 	Détecter: Trace.Directory.Overnet
C:\Program Files\overnet\overnet.exe 	Détecter: Trace.File.Overnet
C:\Program Files\overnet\plugins\launchmyapp.dll 	Détecter: Trace.File.Overnet
C:\Program Files\overnet\uninstall_overnet.exe 	Détecter: Trace.File.Overnet
Key: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\ruins 	Détecter: Trace.Registry.Qhost
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion --> dpid 	Détecter: Trace.Registry.zCodec
C:\WINDOWS\system32\Process.exe 	Détecter: Riskware.RiskTool.Win32.Processor.20

Scanné

Fichiers: 	42643
Traces: 	81520
Cookies: 	4
Processus: 	40

Trouver

Fichiers: 	1
Traces: 	6
Cookies: 	0
Processus: 	0
Clés de Registre: 	0

Fin du Scan:	08/11/2006 23:26:09
Temps du Scan:	00:42:42

kesaco · Answer

je ne trouve plus le lien pour ewido
 je l'ai trouvé

kesaco · Answer

c'est long quand même ce scan

kesaco · Answer

aie je crois que je vais avoir le plaisir et l'honneur de passer encore pas de temps sur le forum parceque dans le scan de ewido ya une  "dm" machin chose qui est revenu entre autre 
  on me demande a la fin de faire "remove infections" je pense queje clic dessus? 
ça ye j'ai cliqué mais tout a disparu ( j'a i pas pensé a fire copier coller avt)

kesaco · Answer

Logfile of HijackThis v1.99.1
Scan saved at 00:57:11, on 09/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
c:\progra~1\avantb~1\avant.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - c:\progra~1\avantb~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - c:\progra~1\avantb~1\AddToADBlackList.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - c:\progra~1\avantb~1\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - c:\progra~1\avantb~1\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Rechercher sur le Web... - c:\progra~1\avantb~1\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - c:\progra~1\avantb~1\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

afideg · Answer

#101 pourquoi n'y a-t-il que peu de lignes?
Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\system32\NOTEPAD.EXE 
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE 
Alors que toujours tu en as beaucoup.
As-tu une explication à cela ( une manip particulière - chez toi ; avec aidant - ? ) ?

Merci

PS: Le rapport du scanonline Ewido ?

kesaco · Answer

rebonsoir afi 
j'ai fait un scan en ligne avec ewido
il ya avait plein de trojan et encore une "dm"
mais a la fin on me d"mande de "remove" ce que je fais et je n'ai pas eu de rapport
la j'ai relancé ewido

kesaco · Answer

j'etais dehors a sortir leschiens je t'avais pas lu au dessus

kesaco · Answer

#101 pourquoi n'y a-t-il que peu de lignes? 
Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\system32\NOTEPAD.EXE 
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE 
Alors que toujours tu en as beaucoup. 
As-tu une explication à cela ( une manip particulière - chez toi ; avec aidant - ? ) ? 

pour cela j'ai ps vraiment fait attention aux nombre de lignes avant
et personne ici m'aide ;je n'ai pas fait de manip particulière et surtout pas de ma propre initiative
j'ai peutêtre fait un mauvais copier coller avec le bloc note réduit

kesaco · Answer

tu es parti je pense?
je poste ewido et après dodo

kesaco · Answer

voila j'ai refait ewido ,mais on ne me donne pas de rapport , juste"remove infection"
apres un deuxième passage il y avait  encore trojan.small.fb  c:8système volume information8r.....(hight)
au premier passage comme je disait plushaut il y avait encore 4 ou 5 trojan et une fameuse  dm ,mais de rapport non plus
ça me parrait trop beau pour être vrai ewido aurait tout éradiquer?

j'ai refait hickjack this


Logfile of HijackThis v1.99.1
Scan saved at 02:25:14, on 09/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
c:\progra~1\avantb~1\avant.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - c:\progra~1\avantb~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - c:\progra~1\avantb~1\AddToADBlackList.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - c:\progra~1\avantb~1\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - c:\progra~1\avantb~1\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Rechercher sur le Web... - c:\progra~1\avantb~1\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - c:\progra~1\avantb~1\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

kesaco · Answer

sommeil....

afideg · Answer

Bonjour à tous,

Pour Kesako:

Je persiste à dire qu'il y a un rapport au terme du ScanOnline d'Ewido. Regarde ici:
1°- à la fin du scan, voici ce que présente le logiciel. Tu y vois clairement ce bouton "Save a report" ( à gauche de "remove ..").
http://img165.imageshack.us/img165/1360/screenshot121iz6.gif
2°- en cliquant sur "save a report", tu obtiens cette page sur laquelle tu choisis l'endroit de sauvegarde du rapport ( je choisis "Mes documents" et je numérote le rapport ). Tu clic sur enregistrer et tu retrouves le rapport à poster (copier/coller) in "Mes Documents". Ainsi:
http://img243.imageshack.us/img243/8448/screenshot122fz4.gif

Donc, SVP, tu recommences pour te faire la main.
Merci.
à+..

PS: Je remarque la possibilité de télécharger la version FREE de AVG AntiSpyware  ( je te le conseille, à l'occasion ).

afideg · Answer

Salut Lyonnais,

Une question SVP ( également pour Qc001 ) Merci.

96 > -  par Lyonnais92 

« La bestiole "mute". 
Conséquence immédiate, avant de lancer la procédure de Qc001 au post précédent, tu lances HijackThis. 
Si tu vois encore la ligne O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe , tu poursuis. 
Sinon, tu postes le nouveau log que l'on puisse t'indiquer un fichier de plus à essayer de détruire. »

OK, je vois très bien pourquoi.

Ma question:
Mais peut-on en retenir que si l'on fixe à ce moment ( avant la procédure ) la ligne litigieuse, cela permettrait de la récupérer, au besoin, dans le dossier Backups de HJT ? 
Bien que je ne vois pas l'intérêt de sauvegarder une ligne litigieuse, n'y a-t-il pas là un enseignement à retenir ? 
Aussi, et par exemple, ne faudrait-il pas vider ce dossier Backups d'HJT en la circonstance?
Idem pour les quarantaines et les rapports sauvegardés ?

Merci à vous.
Bonne journée.
Al.

PS:  Pour ne pas arrêter le PC ( ici dans notre recherche ), suffit-il de le mettre en veille ? Merci.

Lyonnais92 · Answer

Bonjour,

Merci Kesaco de nous permettre de nous "faire la main" Afideg et moi.

Il y a indépendance entre une ligne 04 et le fichier .exe.

Si tu fixes la ligne, tu as effacé une clé de registre. Cela bloque l'exécution du programme. Mais le programme existe encore. Si, pour une raison x, il est réactivé, la clé va être recrée. Ce que je ne sais pas c'est ce qui va se passer dans le backup de HijackThis. Soit la ligne disparait du backup, soit, éventuellement, le backup peut avoir 2 fois la même ligne. 

Si tu détruis le programme (il va résister), la clé de registre va rester. Tu vas la voir avec la mention "file missing". Tu vas avoir une incohérence de registre que Jv16 ou Ccleaner vont régler.

Je crois qu'il  n'y a aucun intérêt à conserver une clé liée à un malware. Le seul intérêt de" conserver" le fichier est de pouvoir en faire ou en faire faire l'analyse pour fabriquer un outil d'éradication (ou mettre à jour un outil existant).

Sauf erreur, je regarderai ça ce soir, il n'y a qu'un fichier de backup d'HijackThis. Les lignes supprimmées "s'empilent" les une sous les autres. Par contre, il est peut être possible de supprimmer définitivement une ligne du backup.


Je suis assez clair ? et j'ai répondu à tout ?
@+

kesaco · Answer

bonjours

oui sauf que pour moi le mot "backup " (sauvegarde non?) veut pas dire grand chose
je vais regarder dans le dico

Lyonnais92 · Answer

Bonjour,

Ok, backup, c'est sauvegarde.

Pour Ewidoo, comme l'a proposé Afideg, on passe à AVG antyspyware.

Tu as ici un excellent tuto et le site de téléchargement (la première ligne dans le paragraphe "installation" :

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

Tu enlèves tout ce qui concerne l'ancien, Ewidoo et tu prends ça. C'est son successeur. Tu vas reconnaître beaucoup de choses;

Donc tu télécharges, tu mets à jour, tu lances le scan, tu sauvegarde le rapport, tu nettoies tout ce qu'il trouve et tu postes le rapport.

Le temps qu'il fasse le scan, tu as le temps de lire le tuto et même de sortir les chiens ( ou tout autre occupation).

Au passage, as tu le CD de Windows ou seulement un CD de restauration ?

La version que tu as achetée, c'était WindowsXp SP1 ou bien tu as ajouté le SP1 ensuite ?

Dernier conseil, tant que le nettoyage de l'ordi n'est pas totalement terminé, il vaut mieux que tu te connectes un minimum à Internet.

@+

Lyonnais92 · Answer

Re,

Pendant que AVG tourne,

Je ne comprends pas ta réponse.

A l'achat, tu avais Windows Xp ou Windows Xp SP1 ?

Sur le "CD Windows" que l'on t'a fourni tu as acheté l'ordi, il est écrit quoi ?

@+

Lyonnais92 · Answer

Re,

Désolé d'être un peu à la traîne, j'avais une réunion professionelle.

Je ne connais pas le site du "crapaud'. J'utilise ça :
https://www.cjoint.com/

@+

afideg · Answer

Bon. Kesako, Relis bien ceci; Une première chose, et je crois te l'avoir déjà dite ( # 52 par exemple): « Si tu veux qu'on termine la mise en ordre de ton PC -ce n'est pas fini- évite de d'immiscer dans nos réflexions techniques - les questions, ce sera pour plus tard; ou au fur et à mesure d'une manipulation- » Merci. 2°- Pour rapport ScanOnline Ewido demandé # 136, je l'attends toujours ( tu te distrais en cours de route ! ). Je tiens à te remettre en mémoire le # 12- 3ème étape- § 2° ==> Question: Comment as-tu fait pour me produire un rapport Ewido Online # 22, dès lors que tu prétends ( malgré mes captures d'écran ) qu'il est impossible de le réclamer à défaut de la touche "SAVE REPORT" ??? Merci. 3°- Pour les captures d'écran, nous te recommandons des outils réputés qui ont fait leurs preuves, et auquels nous sommes tous habitués ici. C'est-à-dire < https://imageshack.com/ > et < https://www.cjoint.com/ >. Pourquoi nous faire perdre notre temps à rechercher à ta place ( ce que tu sais très bien faire toi-même sur Google ) un crapaud de derrière les fagots ? Merci; Fais confiance aux gens qui te viennent en aide ( apparemment avec efficacité ). Ne baisse pas les bras, tu es un exemple de vitalité pour beaucoup. Mais chaque chose en son temps SVP. Merci Al.

afideg · Answer

Kesako, J'ajoute ceci à mon message précédent : « Tu dis ne pas savoir faire de capture écran » Or, je relis ton # 2 du topic, et j'y lis ceci : « ... j'ai fait une capture d'ecran pour vous montrer ce qu'il se passe quand j'essaye de mettre ce dossier de "mes documents" a la poubelle » Comment as-tu fait ? Quel site d'hébergement avais-tu choisi ( si c'est le cas ) ? Merci

kesaco · Answer

bonsoir afi ,je viens s'arriver 
le scan avec avg a été plutot long 
alors effectivement je suis la première a me demander comment ça ce fait qu'avec ewodo j'ai pu avoir le rapport la première fois et pas les suivante alors que j'utilise la meme page (bien que les intitulé ne soit pas tout a fait les même en bas du tableu de scan). c'est pourquoi je voulais faire une capture d'ecran (que je sait faire avec alt+impr et copier coller dans paint)( et que j'ai fait)  ;mais je ne retrouve plus le site pour merttre en ligne  avec le lien comme  tu fais   ,'cest vrai que en tapant dans gogol " comment mettre un site en ligne je vais tomber sur le site du "crapaud comme je dis.

et justement au#2 je dis que j'ai fait une capture mais je n'ai pas pu la mettre sur le forume d'ailleur;
 merci pour le  lien " immascheck" j'ai lu trop vite je viens de voir

kesaco · Answer

VG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	21:19:42 09/11/2006

 + Résultat de l'analyse:	



	Rien à signaler.



Fin du rapport

kesaco · Answer

pour repondre a lyonnais 
j'ai acheté mon ordi avec xp préinstallé et je vais aller verifir si c'etais xp ou xp sp1

afideg · Answer

Re

Tu ne réponds  de nouveau pas à cette question :

2°- Pour rapport ScanOnline Ewido demandé # 136, je l'attends toujours ( tu te distrais en cours de route ! ).

De là à en déduire que le comportement de ton PC n'est pas normal, il n'y a qu'un pas.

kesaco · Answer

ma version de xp a l'achat  c'est xp familiale  préinstallé  ( j'ai fait une sauvegarde su système sur plusieurs cd)pas xp SP1

kesaco · Answer

voila mainteant je sait pas quoi faire de plus.....

kesaco · Answer

aie  je me fais engeuler
excuse j'ai tres mal lu le #154
je lis et je refais

Lyonnais92 · Answer

re,

On va passer Ccleaner. La première chose est de le mettre à jour.

Tu ouvres ta version. Tu cliques sur options. Si tu lis V1.34.407 tu sautes  le paragraphe qui suis.

Sinon, tu cliques sur l'adresse que l'on te donne et tu télécharges (download) la dernière version et tu l'installes.

Dans tous les cas, tu cliques sur erreurs, puis chercher des erreurs puis réparer les erreurs. Tu répètes jusqu'à ce qu'il ne trouve plus d'erreurs.

Tu cliques sur  Nettoyeur, tu décoches Avancé. Tu laisses coché tout le reste.Tu cliques sur analyse puis lancer le nettoyage. Tu recommences tant qu'il te trouve de nouveaux fichiers à nettoyer.

Tu préviens quand c'est fini.

@+

Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

kesaco · Answer

cc cleaner  cfait
j'ai aussi reparer les erreur avec sauvegarde du registre

Lyonnais92 · Answer

Re,

Au passage, tu réouvres HijackThis, do a scan only, tu coches la case devant la ligne :
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ 
 Tu tu cliques sur fix checked. Tu fermes HijackThis.

Tu refais un scan en ligne avec kapersky (tu dois savoir faire, tu as l'active X dans le log HijacThis, sinon, tu demandes).
Tu postes le rapport en réponse.

Tu nous dit où en sont tes soucis par rapport au post initial (qu'est ce qui fonctionne, qu'est ce qui ne fonctionne pas).

Tu refais un Hujackthis et tu ajoutes le log.

@+

kesaco · Answer

pour hijackthis j'ai fixé la ligne
kaperski scan 'yen a pour un moment)

je revien plus tard cette nuit quand ce sera fini

grand merci pour la patience

Qc001 · Answer

Bonsoir tout le monde,

Le temps me manque (l'histoire de ma vie..lol..), alors juste une petite remarque. Je vais répondre aux questions d'afideg dès que j'ai 20 minutes devant moi ;-)

Pour le scan en ligne d'Ewido : je ne le connais pas, car je prescris toujours le prog (maintenant AVG-Antispyware), qui est supérieur du fait qu'on puisse le passer en sans Échec ;-) Je crois que le scan en ligne ne propose pas de rapport lorsqu'aucun fichier infecté n'est détecté. Si AVG-Antispy ne voit rien, alors le scan en ligne ne verra rien (les deux utilisent les mêmes signatures). Si le scan en ligne détectait un fichier dm***.exe, alors de toute évidence il n'y est plus. Si Wareout était toujours actif, nous le verrions dans les logs HJT.

À plus tard pour les autres explications (Restauration, etc..).

Lyonnais92 · Answer

Re,

Pendant le scan, si tu peux, tu télécharges le SP2 ici :
https://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/29989.html

Tu choisis "enregistrer" et non "exécuter" (on te le fera faire plus tard).

Je ne sais pas ce que tu as comme connexion Internet, mais ça peut prendre un peu de temps.

Quand tu auras un moment, tu répondras aussi sur la situation par rapport aux problèmes initiaux (ton navigateur semble refonctionner, les scans en ligne passent, ...).

Je vais déconnecter. Si tu as une question, c'est assez vite ou demain matin.

@+

afideg · Answer

N'éteins pas ton PC tant que tout n'est pas fini !

afideg · Answer

Bonne nuit Lyonnais et merci
à+..

afideg · Answer

Kesako

As-tu exécuté le # 164 ?
Si NON, fais -le .

Merci

ALLO ??

kesaco · Answer

la?

oui afi ,je suis bien obligé d'attendre que le scan de kaperski soit fini pour le # 164 
je suis allé manger entre temps.

kesaco · Answer

KASPERSKY ONLINE SCANNER REPORT  
Friday, November 10, 2006 1:44:00 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 9/11/2006
Kaspersky Anti-Virus database records: 226031
 
 
Scan Settings 
Scan using the following antivirus database standard 
Scan Archives true 
Scan Mail Bases true 
 
Scan Target My Computer 
A:\
C:\
D:\
E:\
F:\
G:\
H:\  
 
Scan Statistics 
Total number of scanned objects 84707 
Number of viruses found 0 
Number of infected objects 0 / 0 
Number of suspicious objects 0 
Duration of the scan process 01:50:18 

Infected Object Name Virus Name Last Action 
C:\Documents and Settings\LocalService\Cookies\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  Object is locked  skipped  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\Application Data\Motive\Acme\plugin\log\pchbtn.log  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\Cookies\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\MSHist012006110920061110\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF13BE.tmp  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire
tuser.dat  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire
tuser.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\Propriétaire\UserData\index.dat  Object is locked  skipped  
 
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat  Object is locked  skipped  
 
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db  Object is locked  skipped  
 
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws  Object is locked  skipped  
 
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log  Object is locked  skipped  
 
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log  Object is locked  skipped  
 
C:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt  Object is locked  skipped  
 
C:\Program Files\Calendrier\Jours.edb  Object is locked  skipped  
 
C:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP1\change.log  Object is locked  skipped  
 
C:\WINDOWS\Debug\oakley.log  Object is locked  skipped  
 
C:\WINDOWS\Debug\PASSWD.LOG  Object is locked  skipped  
 
C:\WINDOWS\SchedLgU.Txt  Object is locked  skipped  
 
C:\WINDOWS\Sti_Trace.log  Object is locked  skipped  
 
C:\WINDOWS\system32\config\Antivirus.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\default  Object is locked  skipped  
 
C:\WINDOWS\system32\config\default.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SAM  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SAM.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SECURITY  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\software  Object is locked  skipped  
 
C:\WINDOWS\system32\config\software.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\system  Object is locked  skipped  
 
C:\WINDOWS\system32\config\system.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat  Object is locked  skipped  
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\WINDOWS\system32\h323log.txt  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Object is locked  skipped  
 
C:\WINDOWS\Temp\Perflib_Perfdata_50c.dat  Object is locked  skipped  
 
C:\WINDOWS\Temp\_avast4_\Webshlock.txt  Object is locked  skipped  
 
C:\WINDOWS\wiadebug.log  Object is locked  skipped  
 
C:\WINDOWS\wiaservc.log  Object is locked  skipped  
 
D:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP1\change.log  Object is locked  skipped  
 
Scan process completed.

kesaco · Answer

Logfile of HijackThis v1.99.1
Scan saved at 03:59:55, on 10/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\WINDOWS\system32\NOTEPAD.EXE
c:\progra~1\avantb~1\avant.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - c:\progra~1\avantb~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - c:\progra~1\avantb~1\AddToADBlackList.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - c:\progra~1\avantb~1\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - c:\progra~1\avantb~1\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Rechercher sur le Web... - c:\progra~1\avantb~1\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - c:\progra~1\avantb~1\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

kesaco · Answer

voila j'ai fait tout le #164

reste a vous dire a demain et merci de m'avoir encore supporté et je ferme pas l'ordi;

Tout mes programmes refonctionnent  (realplayer , navigateur ,l'arborescence , gestionnaire de tâches )

j'aurais encore queques questions a poser pour savoir quel programmes garder et quel virer car il y en a trop sur cet ordi.

et quel types de virus il yavait  sur l'ordi
ect..mais c'est pas préssé.

dodo

Qc001 · Answer

Salut ! T'es pas couchée ? Moi j'ai 6 heures derrière la France, alors ça va ;-)

Ton log de Kaspersky est clean :-)

Lorsque tu reviendras demain, dis-nous si Windows Media Player fonctionne. Si jamais il ne fonctionne pas, nous pourrons te faire installer le nouveau (version 11), mais tu devras installer le SP2 avec succès avant de pouvoir le faire. Une chose à la fois...

Bonne nuit :-)

kesaco · Answer

bonjours 
donc media player marche tres bien aussi.

je crois que je dois faire la mise a jour de internet exploreur?

je me demandais aussi si maconfiguration d'antivirus et parrefeu etais suffisante ? car je pense en acheter un .

Lyonnais92 · Answer

Bonjour,

Tu lances le téléchargement du SP2.

Et tu fais bien "enregistrer" quand la fenêtre de déchargement va apparaître.

Le dernier problème pas bien résolu c'est ton navigateur ou il fonctionne correctement lui aussi ?
@+

Qc001 · Answer

Bonjour kesaco, Lyonnais :-)

La mise à jour de Windows ET d'Internet Explorer sont prioritaires maintenant. Tu dois bien comprendre que Avant browser utilise tous les fichiers système d'Internet Explorer afin de tourner... Dans le jargon, on dit d'Avant qu'il est une "coquille" d'Internet Explorer, ce qui veut dire qu'il n'est, somme toute, qu'une extension qui donne un nouveau look et de nouvelles fonctionnalités à Internet Explorer.

Les failles que l'on retrouve dans Internet Explorer non à jour sont exploitables via Avant, d'où l'importance d'avoir toutes les mises à jour.
-------------------

Fais les MAJs telles que suggérées par Lyonnais.

Reviens avec un nouveau log HijackThis! suite aux mises à jour s'il te plait, juste pour confirmer. Merci..

@+

kesaco · Answer

ok  merci

Lyonnais92 · Answer

Re,

Merci Qc001 des précisions et de ton intervention.

Kesaco, quand tu as fini le téléchargement du SP2, tu nous préviens que l'on te donne la suite.

@+

kesaco · Answer

bonsoir  a tous,
 je viens de finir les mises a jour xp2 
tout a l'air de bien fonctionner

sauf au démarrage:
 
j'ai une vois une boite  de dialogue qui s'affiche nommée 
pchotify.exe service de débogagedu common language runtime
l'application à générer une exeption non gérée
ID processus = oxeo8(3592)
ID thead= 0xeoc (3596)
cliquer ok pour terminer l'application
annuler pour déboguer l'application


je précise que j'avais déja ce problème avant l amise ajour xp2

est ce que la mise ajour xp2 fait aussi la mise a jour de internet exploreur?

Lyonnais92 · Answer

Re,

Relance Hijackthis et poste le log en réponse.
@+

kesaco · Answer

Logfile of HijackThis v1.99.1
Scan saved at 22:29:55, on 10/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
c:\progra~1\avantb~1\avant.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - c:\progra~1\avantb~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - c:\progra~1\avantb~1\AddToADBlackList.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - c:\progra~1\avantb~1\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - c:\progra~1\avantb~1\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Rechercher sur le Web... - c:\progra~1\avantb~1\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - c:\progra~1\avantb~1\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

Lyonnais92 · Answer

Re,

J'aurais préféré que tu attendes pour faire la mise à jour.

Tu prends un point de restauration :

démarrer, aide et support, annulez les modifications ...

Tu coches la case créer un point de restauration puis Suivant. Tu écris 'Installation SP2' et tu cliques sur Créer et fermer.

Pour vérifier , tu repars de annulez les modifications ...

La case devant "restaurer  ...à une heure antérieure" doit être cochée. Tu cliques sur suivant. Tu dois lire installation SP2. Tu cliques sur annuler. Tu fermes les fenêtres.

Pour ton problème de pchnotify, 

Démarrer 
 
Performances et maintenance 
Outils d'administration 

Double clic sur "Configuration Microsoft.NET Framework 1.1" 
Développer le répertoire "Poste de travail" en cliquant sur le + 
Double clic sur "Applications" 
Clic sur "Corriger une application" 
Double clic sur "pchnotify.exe" .

Si tu vois Safe mode de l'application, tu cliques et tu continues à suivre.

Tu redémarres l'ordi et tu nous dit si le problème est résolu.

@+

kesaco · Answer

ok

Lyonnais92 · Answer

Re,

Kesaco, j'ai effacé une ligne à tort et laissé la mauvaise.

Pour pchnotify, ça commence comme ça :

démarrer

panneau de configuration
outils d'administration

et la suite sans changement.

Désolé

@+

kesaco · Answer

petit problème

kesaco · Answer

lyonnais 
excuse moi ,mais pourrez tu me reexpliquer la retauration du système
moi j'ai 1 point de restauration aujourd'hui qui s'est fait seul avec ceque j'ai fait aujourd'hui

quand j'ai ouvert la boite dedialogue de la restauration du système 
je coche creer un point de restauration  que je nomme  installation sp2
puis je verifie?

Lyonnais92 · Answer

Re,

C'est exactement ça : tu prends un point de restauration et tu vérifies que tu l'as bien pris. C'est normal que un point se soit crée au moment du SP2. Mais je préfère que tu en prennes un volontairement.

@+

Il se fait tard, je vais aller dormir. Je verrai la suite demain.

Si tu arrives à réparer pchnotify, tu arrêtes aussi.

La prochaine étape, vérifier que Windows est à jour . Je te donne la procédure pour que tu puisses avancer même si on est pas là à un moment où tu es disponible :

démarrer

aide et support

maintenez votre ordinateur à jour avec Windows update,

Tu cliques sur "rapide" (et pas sur personalisé)

Tu attends, il cherche, ça peut prendre un peu de temps;

Tu cliques sur installer les mises à jour s'il en a trouvé. Sinon, tu fermes.

Tu nous donnes le résultat.

@+

kesaco · Answer

lyonnais

pour le #187
le problème n'est pas réparé 
mais quand je Double clic sur "pchnotify.exe" on me done 2 pssibilité 
j'ai essayé que la première

kesaco · Answer

quand je clique sur la 2ième possibilité donc  j'ai ceci
dans le doute je n'ai rien fait
http://img222.imageshack.us/img222/9279/paint7ht5.jpg

suite a ça j'ai fait la mise a jour windows uptade mais elle ne se fait pas a l'étape1 framework

 a l'instant j'essaye de voir l'historique de la mise a jour mais on me dit que je suis pas connecté alors que je le suis ,et de lancer l'assistant de connexion....ça déconne un  peu

kesaco · Answer

ça remarche

j'ai ça http://img221.imageshack.us/img221/104/screenshot004no9.jpg

et quand je clique sur les croisx rouge ça:
Échec de l'installation 

Code d'erreur: 0xE0434F4D  
Essayez de réinstaller la mise à jour ou recherchez de l'aide auprès 
de l'une des sources suivantes. 

Options d'aide sans assistance :

Forum Aux Questions 
Trouver des solutions 
Groupe de discussion de Windows Update 

Options de support assisté :


Support assisté en ligne Microsoft  

Échec de l'installation 

Code d'erreur: 0xE0434F4D  
Essayez de réinstaller la mise à jour ou recherchez de l'aide auprès de l'une des sources suivantes.  

je dois aller la?

mainteant je vais dormir

kesaco · Answer

la navigation est vraiment plus fluide 

merci

kesaco · Answer

j'ai un problème d'active x que je sait pas changer aussi

http://img292.imageshack.us/img292/8729/screenshot005qh3.jpg

Lyonnais92 · Answer

Bonjour,

Tu redémarres en mode sans échec,

Tu fais passer Ccleaner Nettoyage puis Ccleaner Erreurs. Tu répares les erreurs s'il y en a.

Tu défragmentes ton disque dur : démarrer, tous les programmes, accessoires, outils système, défragmenteur de disque, défragmenter?

Si il y a longtemps que tu ne l'as pas fait, ça peut être long;

Tu redémarres en mode normal.

Tu réessayes Microsoft update pour le framework.

Si ça échoue, tu dis. Sinon, tu réessayes la manip pour réparer pchnotify (post 187 sauf laligne fausse).

Tu nous tiens au courant.

@+

PS je ne suis pas sur que ça va suffire pour résoudre le problème, mais c'est du nettoyage utile.

afideg · Answer

Bonjour Lyonnais, Salut Kesako, - # 187, Lyonnais t'écrit : < Si tu vois Safe mode de l'application, tu cliques et tu continues à suivre >. - # 195, tu relates :< quand je clique sur la 2ième possibilité donc j'ai ceci : < http://img222.imageshack.us/img222/9279/paint7ht5.jpg > ; dans le doute je n'ai rien fait . ???????????? « Suite à ça j'ai fait la mise a jour windows uptade mais elle ne se fait pas a l'étape1 framework » ???????? Où en es-tu dans ce § relatif à " tu réessayes la manip pour réparer pchnotify " Pour info < http://www.forum-pc.net/... > ou < https://vosdomaines.com/cedex.fr > ou < http://forum.telecharger.01net.com/forum/high-tech/LOGICIELS/Windows-XP/probleme-pchnotify-demarrage-sujet_322562_1.htm > ;) à+.. Al.

kesaco · Answer

bonjours afi

effectivement lyonnais  me précise bien  dans le #187 que je pouvais faire le mode safe .
autant pour moi encore une négligence ;
donc je repare sur ce #
merci

Lyonnais92 · Answer

Bonsoir,

Si tu n'as pas commencé à le Safe mode, ou si il ne donne rien, tu fais le 199 et tu réessayes avec safe mode.

@+
Mais je vais pas rater France All Blacks

kesaco · Answer

bien ce match?  moi j'ai regardé les sketchs  de  Laurent Gerra

bon ça marche pas 
ni safe mode 
ni la "mise a jour framwork (qu'eest ce que c'es "framework?)
quand je redémarre mon ordi j'ai toujours la boite de dialogue
apèrs analyse"mon ordi a pas beon d'etre défragmenter (je l'avais déja fait il y a 2 mois) 
ce que j'ai quand je fais la mise a jour:
http://img478.imageshack.us/img478/3983/screenshot008eg4.jpg

http://img134.imageshack.us/img134/8393/screenshot009tl7.jpg.
je vais lire les pages de windows  update a ce sujet.
@+
merci

afideg · Answer

Coucou,

< https://vosdomaines.com/cedex.fr >  ???

Demande des explications, peut-être ?

Al.

Lyonnais92 · Answer

re,

Le match, j'ai arrêté avant la fin !!

Pour la défragmentation, je voudrais que tu la fasses en mode sans échec, même si l'ordi te dit qu'il n'y en a pas besoin.

Pour la mise à jour, il faut qu'on regarde un peu.

Le gestionnaire des tâches fonctionne de nouveau ?

@+

kesaco · Answer

ok 
merci

Qc001 · Answer

Salut kesaco :-)

Et bonjour à Lyonnais et afideg ;-)

Aïe... vous en avez fait du chemin depuis ma dernière visite !

Pour ce "pchnotify.exe", y a un truc tout simple qu'on peut essayer. J'ai trouvé ça en lisant les liens d'afideg ;-)

Ça semble lié à "PCHButton.exe", qui est un module de MAJ auto sur ordis HP/Compaq. Ce module ne sert à rien... car les MAJs peuvent très bien se faire manuellement. Semblerait qu'il y ait un bug avec ce module lorsque le SP2 est installé. Étant donné que le SP2 est infiniment plus important qu'un petit module inutile, on peut tout simplement désactiver le module...

kesaco : lance HijackThis! et clique "Do a system scan only", puis coche cette ligne :

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

Ferme les fenêtres actives, sauf HijackThis!, puis clique "Fix checked". Ferme HijackThis!

Si tout va bien, tu ne devrais plus être gênée par ce truc. Ne t'en fais surtout pas pour cette ligne... car la fixer ne supprime aucun programme ou fichier. C'est un clé de registre qui lance ce "PCHButton.exe" au démarrage de l'ordi. Et en plus cette clé est sauvegardée dans le dossier "Backups" de HijackThis!
====================

C'est quoi Framework ? Bonne question... moi je ne l'ai pas installé. Un peu d'infos techniques ici :
https://dotnet.developpez.com/faq.net/?page=architecture#2.1

Moi je te le ferais désinstaller... et si jamais tu avais des applications qui tournaient avec Framework, alors tu pourras le réinstaller via Windows Update :-)

kesaco · Answer

bonjours a tous j'ai perdu ma connexion cet apres midi et c'est revenu quand j'ai rallumer mon ordi cette nuit. et la il est un peu tard ..

Lyonnais92 · Answer

Bonjour,

A part ce problème de connexion, comment va l'ordi ?

C'est qui ton FAI pour Internet (France Telecom, Alice, Neuf Telecom, ...) ?

Realnce un HijackThis et poste le log.

@+

kesaco · Answer

la manip de Qc001 au #207 pour "pchnotify.exe", n 'a pas marché au momment du redémarrge du Pc ,je croyais que c'etais bon
Mais je viens d'ouvir  "centre aide et support " pour windows uptade et la je tombe sur recherche de connexion "établir une connection" qu'il ne trouve pas alors que je suis connecté ( donc je n'i pas pu relancer les mises jour de framework et autres pour le moment)
et tout de suite apres j'ai eu a nouveau la boite de dialogue
"pchnotify.exe", 
http://img299.imageshack.us/img299/1512/screenshot0010xo4.jpg

en principe le centre d'aide et support devrai t ce debloquer pour la connexion tout seul comme ça m'a fait hier.

 j'ai télé2 comme Fai et j'en suis contente comparé a aol que j'avais avant.

Qustion ? est ce que je dois d'apres vous automatiser les mises a jour ou faire "demander avant"?

Logfile of HijackThis v1.99.1
Scan saved at 16:02:05, on 13/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI
aviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
c:\progra~1\avantb~1\avant.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - c:\progra~1\avantb~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - c:\progra~1\avantb~1\AddToADBlackList.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - c:\progra~1\avantb~1\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - c:\progra~1\avantb~1\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Rechercher sur le Web... - c:\progra~1\avantb~1\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - c:\progra~1\avantb~1\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe"  uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

merci 
bonne apres midi

Lyonnais92 · Answer

Bonjour,

En attendant Qc001, Que se passe t'il si tu cliques sur connecter ?

@+

Qc001 · Answer

Bonjour vous trois :-)

De passage très rapide...

D'après ce que je vois, il faut contourner ces foutus modules HP qui essaient de tout faire..

kesaco : pour Windows Update, passe par Internet Explorer >> menu "Outils" >> "Windows Update"

..ou bien va directement ici :
http://v4.windowsupdate.microsoft.com/fr/default.asp

Si rien ne fonctionne, ce qui me surprendrait, on pourra toujours restaurer la ligne O4..

Tiens-nous au courant :-)

@+

kesaco · Answer

bonsoir 
la mise a jour sur le site  a échoué pour framework toujours pour la meme raison 
http://img478.imageshack.us/img478/3983/screenshot008eg4.jpg

on pouurait peut être faire cela?

"Moi je te le ferais désinstaller... et si jamais tu avais des applications qui tournaient avec Framework, alors tu pourras le réinstaller via Windows Update :-)"

afideg · Answer

Salut Kesako Tu n'as toujours pas trouvé à récupérer ta barre d'adresse ? Sur ta page d'accueil de Google, clic sur " À propos de Google " Tu obtiens ceci < http://img223.imageshack.us/img223/3440/screenshot140hz3.gif > et tu télécharges ta barre d'outils Google qui te rendra peut-être la barre d'adresse . Je vois aussi sur ta capture écran que ta RAM n'a pas beaucoup de réserve < http://img177.imageshack.us/img177/4038/screenshot139ch3.gif >.

kesaco · Answer

bonjor afi

je l'air récupéré ma barre d'adresse google (essle devais être désactivé  dans le menu affichage)

par contre pour la ram je me suis toujours demandé pour quoi elle consommais autant même quand je ne fais rien sur l'ordi!!

pour framework je ne sais toujours pas quoi faire


bon je pense que les prob sont de toute façon presque tous résolus; et que vous devez avoir pas mal de boulot sur le forum vu le nombre de discussions.
a bientôt.

Lyonnais92 · Answer

Bonjour,

Non non, on ne t'a pas oublié, même si il y a du travail par ailleurs.

Mais on attend un peu que Qc001 fournisse l'idée pour résoudre ton problème.

Si tu veux avancer, tu peux commencer à désinstaller  les programmes dont tu n'as plus usage et que tu peux désinstaller (panneau de configuration, ajouter/supprimmer des programmes, tu te places sur le nom du programme et tu cliques sur supprimemr. Après, tu suis les instructions.

Pour ne pas avoir de regrets, essaie de voir si tu as les sources des programmes quelque part (sur CD, téléchargeable sur le Net, ..). Tu commences par ceux là. Et tu notes quelque part ceux que tu as enlevé.

@+

kesaco · Answer

merci lyonnais

VIRUS impossible de passer un antivirus

162 réponses

Votre réponse

Discussions similaires

Newsletters