[trojan tenace] backdoor.Win32.ServU-based

Résolu
bordilhas Messages postés 27 Statut Membre -  
did71 Messages postés 2187 Statut Contributeur sécurité -
Bonjour à tous,

Récemment, dans mon Panneau de configuration, plus aucune icone clickable ! Un message apparait: "ce fichier est utilisé par une autre application". Je vais un scan avec a2 pour vérif et je tombe sur une infection par Backdoor.Win32.ServU-based à l'adresse c:\windows\system32\dllcache\win32\scrss.exe. A cet adresse, une icone bizarroide et pas très sympa et un fichier scrss.exe de 2 Mo ! Et impossible de virer cette saloperie !
D'où mes questions: a) comment virer ce fichier ? b) est-ce que la source des pbm d'accès au panneau de config vient de là ?
J'espère que je suis clair, sinon désolé: je ne suis pas très calé en informatique.
Je joins aussi le log HiJackThis.
Merci pour votre aide !
@+
--------------
Logfile of HijackThis v1.99.1
Scan saved at 21:00:02, on 30/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\dllcache\win32\winlogon.exe
F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\dllcache\win32\csrss.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\UAService7.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
f:\program files\maxthon\maxthon.exe
F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
F:\WINDOWS\system32\winsvcup.exe
F:\WINDOWS\system32\winupsvc.exe
F:\Program Files\ATnotes\ATnotes.exe
F:\Program Files\Active Desktop Calendar\ADC.exe
F:\PROGRA~1\INCRED~1\bin\IMApp.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\a-squared Free\a2free.exe
F:\Program Files\Maxthon\Maxthon.exe
C:\ARCHIVES\LOGITHEQUE\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://rezo.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://rezo.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Smapp] F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [PMXInit] F:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [PowerVRUninstall] F:\WINDOWS\pmxreg.exe -setupUninstall
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WindowsFirewallSvc] F:\WINDOWS\system32\winsvcup.exe
O4 - HKLM\..\Run: [Windows Update Host] F:\WINDOWS\system32\winupsvc.exe
O4 - HKCU\..\Run: [ATnotes.exe] F:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [IncrediMail] F:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Active Desktop Calendar] F:\Program Files\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Magentic] F:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ajouter au tueur de pub - F:\Program Files\MyIE2\config/blacklist.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/048e07f4ed0b3793cb05/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www3.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - https://www.zonealarm.com/
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - https://www.zonealarm.com/
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://www.pixum.fr/?p_ref=crm_umleitung_photoreflex_1113
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - F:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - F:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
Configuration: PC Win XP

11 réponses

  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir bordilhas,

    Étape 1:
    Télécharge eScan Antivirus Toolkit ici:

    http://www.spywareinfo.dk/download/mwav.exe

    Sauvegarde-le sur ton Bureau.
    Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

    Étape 2:
    Voici comment mettre l'outil à jour :

    1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

    2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

    3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

    4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

    Ne pas lancer le scan tout de suite !

    Étape 3:
    Redémarre en mode Sans Échec :
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur

    Étape 4:
    Du mode Sans Échec, voici comment utiliser le programme :

    1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

    2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

    3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

    4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

    5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

    6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

    7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

    Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse ainsi qu'un nouvel hijackthis.

    a+
    0
    1. bordilhas Messages postés 27 Statut Membre
       
      Re,

      j'ai fait tout ce que tu conseilles et le scan a trouvé pas mal de trucs bien cachés:
      ----------------------------
      File F:\WINDOWS\system32\winupsvc.exe infected by "Trojan-Proxy.Win32.Ranky.gen" Virus. Action Taken: File Deleted.
      File F:\WINDOWS\system32\rundll32.exe infected by "Trojan.Win32.Small.js" Virus. Action Taken: File Deleted.
      File C:\System Volume Information\_restore{CC7A4F5D-3C32-4380-AD91-94D9C0EB8BFE}\Fifoed\A0022986.dll tagged as not-a-virus:Dialer.Win32.E-Group.1025. No Action Taken.
      File C:\System Volume Information\_restore{CC7A4F5D-3C32-4380-AD91-94D9C0EB8BFE}\Fifoed\A0024040.exe infected by "Trojan-Downloader.Win32.Small.el" Virus. Action Taken: File Deleted.
      File C:\System Volume Information\_restore{CC7A4F5D-3C32-4380-AD91-94D9C0EB8BFE}\Fifoed\A0024351.dll infected by "Backdoor.Win32.SubSeven.213" Virus. Action Taken: File Renamed.
      File C:\WINDOWS\system32\dllcache\win32\csrss.exe tagged as not-a-virus:Server-FTP.Win32.Serv-U.4100. No Action Taken.
      File C:\WINDOWS\system32\dllcache\win32\load.bat infected by "Trojan.BAT.Zapchast" Virus. Action Taken: File Deleted.
      File C:\WINDOWS\system32\dllcache\win32\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.232. No Action Taken.
      File F:\Documents and Settings\la famiglia\Local Settings\Application Data\IM\Identities\{0B4B348E-94A1-4F55-B1F1-2CAD24DE2C2E}\Message Store\JunkMail.imm infected by "Email-Worm.Win32.Bagle.mail" Virus. Action Taken: File Renamed.
      File F:\Program Files\Shareaza\Torrents\Derek and the Dominoes - The `Layla¦ Sessions (1971).torrent infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
      -------------

      Et le nouveau log hijackthis:

      ---------------

      Logfile of HijackThis v1.99.1
      Scan saved at 01:15:29, on 01/12/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      F:\WINDOWS\System32\smss.exe
      F:\WINDOWS\system32\winlogon.exe
      F:\WINDOWS\system32\services.exe
      F:\WINDOWS\system32\lsass.exe
      F:\WINDOWS\system32\svchost.exe
      F:\WINDOWS\System32\svchost.exe
      F:\WINDOWS\Explorer.EXE
      F:\WINDOWS\system32\spoolsv.exe
      F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      F:\Program Files\Alwil Software\Avast4\ashServ.exe
      c:\windows\system32\dllcache\win32\winlogon.exe
      F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      c:\windows\system32\dllcache\win32\csrss.exe
      F:\WINDOWS\System32\svchost.exe
      F:\WINDOWS\System32\UAService7.exe
      F:\WINDOWS\system32\ZoneLabs\vsmon.exe
      F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
      F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
      F:\Program Files\ATnotes\ATnotes.exe
      F:\Program Files\Active Desktop Calendar\ADC.exe
      F:\PROGRA~1\INCRED~1\bin\IMApp.exe
      F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      F:\WINDOWS\system32\wuauclt.exe
      C:\ARCHIVES\LOGITHEQUE\hijackthis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://rezo.net/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://rezo.net/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.tiscali.it/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
      O4 - HKLM\..\Run: [Smapp] F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
      O4 - HKLM\..\Run: [PMXInit] F:\WINDOWS\System32\pmxinit.exe
      O4 - HKLM\..\Run: [PowerVRUninstall] F:\WINDOWS\pmxreg.exe -setupUninstall
      O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
      O4 - HKCU\..\Run: [ATnotes.exe] F:\Program Files\ATnotes\ATnotes.exe
      O4 - HKCU\..\Run: [IncrediMail] F:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [Active Desktop Calendar] F:\Program Files\Active Desktop Calendar\ADC.exe
      O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: Ajouter au tueur de pub - F:\Program Files\MyIE2\config/blacklist.htm
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
      O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe (file missing)
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe (file missing)
      O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
      O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cab
      O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
      O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/048e07f4ed0b3793cb05/netzip/RdxIE601_fr.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www3.photoweb.fr/telechargement/Photoweb_uploader.cab
      O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - https://www.zonealarm.com/
      O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - https://www.zonealarm.com/
      O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
      O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://www.pixum.fr/?p_ref=crm_umleitung_photoreflex_1113
      O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: Boonty Games - BOONTY - F:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
      O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - F:\WINDOWS\System32\UAService7.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

      --------------------

      Mais maintenant, quand j'essaie d'ouvrir des trucs dans le panneau de configuration, j'ai droit à "Windows ne trouve pas F:\WINDOWS\system32\rundll32.exe" !!!
      J'espère que tu y comprends qqchose !

      Si tu as d'autres conseils ou manip, je suis bien sûr preneur !

      @+

      Laurent
      0
  2. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonsoir bordilhas,

    Désolé du retard,j 'ai eu quelques soucis ces derniers jours!

    1) télécharge AVG Anti-Spyware :

    https://www.avg.com/en-ww/free-antivirus-download

    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente!

    Redémarre en mode sans échec!

    Lance AVG Anti-Spyware
    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    2) redémarre normalement!

    Télécharge clean.zip

    http://www.malekal.com/download/clean.zip

    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, suis les consignes.
    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    3) poste les rapports hijackthis, AVG et cleanzip!

    Ensuite, on attaque sérieusement le rapport

    a+
    0
  3. bordilhas
     
    Bonsoir,

    Hé ben merci, on va essayer tout ça !

    @+
    0
  4. bordilhas
     
    Re,

    par acquit de conscience et après avoir viré qqs trucs suite au scan précédent (depuis, tout a l'air de bien fonctionner...), j'ai refait un scan avec e-scan. Voici le log:

    File C:\WINDOWS\system32\dllcache\win32\csrss.exe tagged as not-a-virus:Server-FTP.Win32.Serv-U.4100. No Action Taken.
    File C:\WINDOWS\system32\dllcache\win32\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.232. No Action Taken.
    File F:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus:Downloader.Win32.ImLoader.b. No Action Taken.

    Tout semble ok, mais c'est juste l'adresse de csrss.exe et de psshutdown qui me semble étrange. Ce n'est pas plutôt d'habitude: C:\WINDOWS\system32\ ?? Surtout que csrss.exe fait ici + de 2Mo. Bizarre, non ?

    Merci de votre réponse.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonsoir,

    poste les rapports demandés!

    a+
    0
  7. bordilhas
     
    Re,

    bon bon bon ok, moi ce que j'en disais c'était pour causer, hein... ;-))
    Bref, voici les rapports:

    ---------------------
    ---- HiJack -------
    --------------------

    Logfile of HijackThis v1.99.1
    Scan saved at 13:37:31, on 05/12/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    F:\WINDOWS\System32\smss.exe
    F:\WINDOWS\system32\winlogon.exe
    F:\WINDOWS\system32\services.exe
    F:\WINDOWS\system32\lsass.exe
    F:\WINDOWS\system32\svchost.exe
    F:\WINDOWS\System32\svchost.exe
    F:\WINDOWS\Explorer.EXE
    F:\WINDOWS\system32\spoolsv.exe
    F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    F:\Program Files\Alwil Software\Avast4\ashServ.exe
    F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    F:\WINDOWS\System32\svchost.exe
    F:\WINDOWS\System32\UAService7.exe
    F:\WINDOWS\system32\ZoneLabs\vsmon.exe
    F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    F:\Program Files\ATnotes\ATnotes.exe
    F:\Program Files\Active Desktop Calendar\ADC.exe
    F:\PROGRA~1\INCRED~1\bin\IMApp.exe
    F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    F:\WINDOWS\system32\wuauclt.exe
    C:\ARCHIVES\LOGITHEQUE\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://rezo.net/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://rezo.net/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.tiscali.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
    O4 - HKLM\..\Run: [Smapp] F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [PMXInit] F:\WINDOWS\System32\pmxinit.exe
    O4 - HKLM\..\Run: [PowerVRUninstall] F:\WINDOWS\pmxreg.exe -setupUninstall
    O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [ATnotes.exe] F:\Program Files\ATnotes\ATnotes.exe
    O4 - HKCU\..\Run: [IncrediMail] F:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Active Desktop Calendar] F:\Program Files\Active Desktop Calendar\ADC.exe
    O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Ajouter au tueur de pub - F:\Program Files\MyIE2\config/blacklist.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
    O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/048e07f4ed0b3793cb05/netzip/RdxIE601_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www3.photoweb.fr/telechargement/Photoweb_uploader.cab
    O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - https://www.zonealarm.com/
    O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - https://www.zonealarm.com/
    O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://www.pixum.fr/?p_ref=crm_umleitung_photoreflex_1113
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Boonty Games - BOONTY - F:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe (file missing)
    O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe (file missing)
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - F:\WINDOWS\System32\UAService7.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

    ---------------------
    ---- AVG ----------
    --------------------

    C:\System Volume Information\_restore{CC7A4F5D-3C32-4380-AD91-94D9C0EB8BFE}\Fifoed\A0023361.dll -> Adware.VCatch : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{CC7A4F5D-3C32-4380-AD91-94D9C0EB8BFE}\Fifoed\A0022986.dll -> Dialer.EGroup.1025 : Nettoyé et sauvegardé (mise en quarantaine).
    F:\WINDOWS\Downloaded Program Files\imloader.exe -> Not-A-Virus.Downloader.Win32.ImLoader.b : Nettoyé et sauvegardé (mise en quarantaine).
    C:\RECYCLER\S-1-5-21-790525478-2052111302-725345543-1003\Dc2.exe -> Not-A-Virus.HackTool.Win32.Brumer.e : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{7C3F5D72-8BDE-4490-879C-4A182F9D23E1}\RP854\A0590935.exe -> Not-A-Virus.HackTool.Win32.Brumer.e : Nettoyé et sauvegardé (mise en quarantaine).

    ------------------------
    ------- Cleanzip ------
    ------------------------

    Script clean par Malekal_morte - http://www.malekal.com

    Microsoft Windows XP [version 5.1.2600]
    Script execute en mode sans echec

    *** Suppression de fichiers sur F:

    *** Suppression des fichiers dans F:\WINDOWS\

    *** Suppression des fichiers dans F:\WINDOWS\system32
    F:\WINDOWS\system32\SpoonUninstall.exe FOUND
    "F:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND

    *** Suppression des clefs du registre effectuee..

    -----------------------------
    ------------------------------

    Voili voilou,

    @+
    0
  8. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonsoir,

    Vas dans menu démarrer>exécuter> tu écris services.msc > dans la fenêtre qui s'ouvre tu recherches :

    Boonty Games

    tu double clic dessus et dans "type de démarrage", tu sélectionne "désactivé"

    Fais de même pour:

    NTLOAD
    NTSVCMGR


    Ensuite, supprime tout le contenu du dossier en gras ci dessous:

    c:\windows\system32\dllcache

    poste un nouvel hijackthis!

    a+
    0
  9. bordilhas
     
    Bonsoir,

    manoeuvre effectuée, voici le log.
    si, en plus de ton aide (précieuse), tu peux me glisser un mot sur ce qui se passe, je suis preneur ;-)

    ----------------
    Logfile of HijackThis v1.99.1
    Scan saved at 00:22:34, on 06/12/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    F:\WINDOWS\System32\smss.exe
    F:\WINDOWS\system32\winlogon.exe
    F:\WINDOWS\system32\services.exe
    F:\WINDOWS\system32\lsass.exe
    F:\WINDOWS\system32\svchost.exe
    F:\WINDOWS\System32\svchost.exe
    F:\WINDOWS\Explorer.EXE
    F:\WINDOWS\system32\spoolsv.exe
    F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    F:\Program Files\Alwil Software\Avast4\ashServ.exe
    F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    F:\WINDOWS\System32\svchost.exe
    F:\WINDOWS\System32\UAService7.exe
    F:\WINDOWS\system32\ZoneLabs\vsmon.exe
    F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    F:\Program Files\ATnotes\ATnotes.exe
    F:\Program Files\Active Desktop Calendar\ADC.exe
    F:\PROGRA~1\INCRED~1\bin\IMApp.exe
    F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\ARCHIVES\LOGITHEQUE\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://rezo.net/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://rezo.net/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.tiscali.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
    O4 - HKLM\..\Run: [Smapp] F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [PMXInit] F:\WINDOWS\System32\pmxinit.exe
    O4 - HKLM\..\Run: [PowerVRUninstall] F:\WINDOWS\pmxreg.exe -setupUninstall
    O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [ATnotes.exe] F:\Program Files\ATnotes\ATnotes.exe
    O4 - HKCU\..\Run: [IncrediMail] F:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Active Desktop Calendar] F:\Program Files\Active Desktop Calendar\ADC.exe
    O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Ajouter au tueur de pub - F:\Program Files\MyIE2\config/blacklist.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
    O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/048e07f4ed0b3793cb05/netzip/RdxIE601_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

    http://update.microsoft.com/...
    O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www3.photoweb.fr/telechargement/Photoweb_uploader.cab
    O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

    https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - https://www.zonealarm.com/
    O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - https://www.zonealarm.com/
    O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

    http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://www.pixum.fr/?p_ref=crm_umleitung_photoreflex_1113
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel

    32\IDriverT.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - F:\WINDOWS\System32\UAService7.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --------------------------------

    @+ !
    0
  10. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonjour,

    c'est mieux!

    On termine le nettoyage!

    relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://rezo.net/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://rezo.net/

    Comment se comporte le pc?

    a+
    0
  11. bordilhas
     
    Bonsoir,

    Tout a l'air de tourner à merveille, je te remercie ! Mais je maintiens ma question: quel était le problème à la base ? Juste qqs trojans ? Si oui, comment se protéger le mieux possible: pour l'instant chez moi, c'est Avast et Zone Alarm...

    @ +
    0
  12. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    oui, c'était quelques trojans!

    Tu as un antivirus et un parefeu, c'est une bonne protection. Maintenant, tu as un antispyware avec AVG antispyware!

    Pour éviter au mieux les infections, un bon surf est primordial, éviter les sites de cracks, de sexe,...

    Eviter aussi les log de P2P qui véhiculent beaucoup de bébétes!

    a+
    0