gros problème avec pc (gros virus ?!) Fermé

Question

Bonjour à tout le monde
Pour commencer, voici la configuration de mon pc: 
Windows xp professionel, version 2002, sp 1
700MHz, 384 Mo de Ram, disque dur 80Go

J'ai deux parties sur mon disque dur,  où windows xp est installé sur les deux...J'ai kasperky internet security sur la première partie et bitdefender v10 sur la deuxième. 
Mon problème est le suivant, mon pc bug depuis plus d'une semaine, sur la deuxième partie, mon UC utilisé est à 100% dès le démarrage de windows xp et par conséquent, je ne peux rien faire, et sur la première partie, j'ai constamment des messages de kaspersky : j'ai 48objets dangereux découverts, ils se trouvent pour la plupart dans windows/system32; comme par exemple spoolsvc.exe,firewall.exe, mysvcc.exe .... ils sont reconnus comme des cheval de troie.
J'ai réalisé des scans avec spybot, ad-aware et ewido...j'ai supprimé tous les dossiers infectés, mais à chaque fois que je recommence les scans, j'en ai des nouveaux...
Je suppose que c'est un gros virus, ou un truc de ce genre, il y a une solution radicale, celle du formatage, mais j'ai beaucoup de documents, et d'album audio que je ne veux perdre (et surtout trop volumineux pour tous les graver) Si ce n'est la seule solution, il faudra le faire bien sur !!!
Mais j'ai vu que certains arrivaient à résoudre certains problème avec le scan de HijackThis.
Donc quelq'un pourrait-il m'aider et essayer de résoudre le problème, ou alors faut-il que je formate tout de suite ?
Merci de prendre le temps de lire tous les messages, et merci d'avance à ceux qui me répondront
Sur ce, je vous souhaite à tous une bonne journée, et de bonne fêtes...

@bientot

ps: j'espère avoir été clair dans les explications

Utilisateur anonyme · Answer

Fait cette procédure avant de poster un log HJT:
Merci d'avance...
https://leblogdeclaude.blogspot.com/2006/10/informatique-procdure-de-nettoyage.html
Ensuite regardes ici...euhhh; seulement ensuite !
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

gia17 · Answer

Merci philo2100, je suis aller voir le site, téléchargé les logiciels...mais une petite question, au moment de lancer AVG anti-spyware, et que tu marques, "redémarrer l'ordi si nécessaire", faut le redémarrer en mode sans échec ou pas ?

Je suis resté en mode sans échec, mais le problème c'est quand 4h l'analysé n'était qu'a 50% (environ), est-ce normal pour un disque dur de 80GO ? ou alors est-ce bien infecté ?

Merci à tous, et bonne soirée

gia17 · Answer

Bonjour tout le monde
c'est encore moi, donc je viens de faire toutes les manipulations, mais toujours impossible de me mettre sur ma deuxième partie, lUc utilisé est toujours à 100%,  et même quand je veux démarrer en mode sans échec sur la deuxieme partie, ben ca bug: rien de s'affiche l'écran reste noir.... que puis-je faire ? faut-il que je formate ou y a t-il une autre solution ???

Merci à tout le monde
Bonne soirée

Utilisateur anonyme · Answer

Salut

il faut attaquer direct sur hijackthis quand c'est comme ça vu ce que tu en dis, avant qu'il ne sit trop tard ..

Télécharge HijackThis: 
--->hijackthis
Installe le dans son propre dossier :
- clic droit sur le bureau, tu choisis "nouveau dossier" puis installe-le à l'intérieur.
Double-clic sur HijackThis , clic sur "do a system scan and save logfile" 
Puis copie et colle le rapport ici stp

gia17 · Answer

Merci boulepate62
J'ai donc fais un scan avec HijackThis, mais le problème c'est qu'il scan sur ma première partie (sur D:\) alors que les bugs sont sur la deuxième partie (sur C:\)...peut-on faire un scan de C:\ en étant sur D:\ ???

voici quand meme le rapport

Logfile of HijackThis v1.99.1
Scan saved at 14:49:42, on 29/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
D:\WINDOWS\System32\Aosh.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
D:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
D:\WINDOWS\System32
vsvc32.exe
D:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32	askmgr.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\mo\Bureau\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [kis] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Services] D:\WINDOWS\System32\Aosh.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Diskeeper 10 Professional Edition Registration.lnk = D:\Program Files\Diskeeper Corporation\Diskeeper\ESIRegister.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/net/Import/ImageUploader3.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: 42.dll,D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - D:\WINDOWS\System32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Diskeeper - Diskeeper Corporation - D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - D:\Program Files\Photodex\ProShowGold\ScsiAccess.exe


Merci bonne journée

Utilisateur anonyme · Answer

Salut

c'est quoi que tu appelles beug ?  le cas échéant arme toi de ton CD XP puis répare ton système.
Ton système est sur D: donc il analyse D: 


Clic sur démarrer, rechercher, cherche et supprime ce fichier : 

- Aosh.exe


Télécharge ComboFix
http://download.bleepingcomputer.com/sUBs/combofix.exe

Ferme ton navigateur web avant d'exécuter ce programme
Double-clique dessus et appuye sur "Y" pour continuer

Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le ici stp

gia17 · Answer

Merci pour ta réponse rapide Les problèmes sur la premiere partie sont les suivants : l'Uc utilisé toujours à 100% et impossible de démarrer en mode sans échec sur la première partie (l'écran reste noir au moment d'arriver sur le bureau)... Voici le rapport: TINNIRELLO Giacomo - 06-12-29 15:13:05,30 Service Pack 1 ComboFix 06.11.27 - Running from: "D:\Documents and Settings\TINNIRELLO Giacomo\Bureau" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) D:\WINDOWS\system32\cmd.com D:\WINDOWS\system32\ping.com D:\WINDOWS\system32 egedit.com D:\WINDOWS\system32 asklist.com D:\WINDOWS\system32 racert.com D:\Program Files\winupdates ((((((((((((((((((((((((((((((( Files Created from 2006-11-29 to 2006-12-29 )))))))))))))))))))))))))))))))))) 2006-12-27 17:56 d-------- D:\Documents and Settings\TINNIRELLO Giacomo\Application Data\Leadertech 2006-12-27 17:55 d-------- D:\Program Files\Diskeeper Corporation 2006-12-27 17:30 d-------- D:\Program Files\Microsoft Office 2006-12-27 17:20 d-------- D:\Program Files\RegCleaner 2006-12-27 14:36 dr-h----- D:\Documents and Settings\TINNIRELLO Giacomo\Recent 2006-12-26 23:15 1,702 --a------ D:\WINDOWS\system32 mp.reg 2006-12-26 21:55 d-------- D:\Program Files\AxBx 2006-12-26 21:52 d-------- D:\Program Files\CleanUp! 2006-12-26 21:49 3,968 --a------ D:\WINDOWS\system32\drivers\AvgAsCln.sys 2006-12-26 21:49 d-------- D:\Program Files\Grisoft 2006-12-26 21:46 d-------- D:\Program Files\a-squared Free 2006-12-26 21:32 d-------- D:\WINDOWS\system32\GroupPolicy 2006-12-26 21:32 d-------- D:\Program Files\Hitman Pro 2006-12-24 11:56 0 --a------ D:\WINDOWS\system32\winsecure.exe 2006-12-21 17:07 33,873 --a------ D:\WINDOWS\system32\Aosh.exe 2006-12-20 14:22 d-------- D:\WINDOWS\AU_Temp 2006-12-20 14:22 d-------- D:\WINDOWS\AU_Log 2006-12-20 14:21 69,689 --a------ D:\WINDOWS\UNZIP.DLL 2006-12-20 14:21 507,904 --a------ D:\WINDOWS\TMUPDATE.DLL 2006-12-20 14:21 286,720 --a------ D:\WINDOWS\PATCH.EXE 2006-12-18 11:34 d-------- D:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage 2006-12-17 21:56 22,752 --a------ D:\WINDOWS\system32\spupdsvc.exe 2006-12-17 21:56 d--h----- D:\WINDOWS\$hf_mig$ 2006-12-17 21:56 d-------- D:\WINDOWS\system32\PreInstall 2006-12-17 21:53 d-------- D:\WINDOWS\system32\bits 2006-12-17 21:52 7,680 --------- D:\WINDOWS\system32\bitsprx2.dll 2006-12-17 21:52 7,168 --------- D:\WINDOWS\system32\bitsprx3.dll 2006-12-17 21:52 331,776 --a------ D:\WINDOWS\system32\winhttp.dll 2006-12-17 21:52 17,408 --a------ D:\WINDOWS\system32\qmgrprxy.dll 2006-12-05 23:47 d-------- D:\Documents and Settings\TINNIRELLO Giacomo\Application Data\ATI 2006-12-05 23:28 d-------- D:\Program Files\ATI Technologies 2006-12-05 22:56 23,070 --a------ D:\WINDOWS\system32\drivers\RTL8139.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-12-28 15:40 -------- d-------- D:\Program Files\Kaspersky Lab 2006-12-27 17:26 -------- d-------- D:\Program Files\Fichiers communs\Microsoft Shared 2006-12-27 17:26 -------- d-------- D:\Program Files\Fichiers communs 2006-12-27 17:24 -------- d--h----- D:\Program Files\InstallShield Installation Information 2006-12-27 17:24 -------- d-------- D:\Program Files\Micro Application 2006-12-24 14:56 -------- d-------- D:\Program Files\AviSynth 2.5 2006-12-23 14:43 -------- d-------- D:\Program Files\WinRAR 2006-12-21 17:19 -------- d-------- D:\Program Files\Extrafilm FotoFacil 2006-12-06 01:31 -------- d-------- D:\Documents and Settings\TINNIRELLO Giacomo\Application Data\Identities 2006-12-06 00:14 -------- d-------- D:\Program Files\Valve 2006-12-05 23:29 -------- d-------- D:\Program Files\Fichiers communs\InstallShield 2006-12-05 20:32 -------- d-------- D:\Program Files\Yahoo! 2006-11-04 15:36 -------- d-------- D:\Program Files\Spybot - Search & Destroy 2006-11-04 14:50 -------- d-------- D:\Program Files\CCleaner 2006-11-04 13:39 -------- d-------- D:\Program Files\Lavasoft 2006-11-04 13:39 -------- d-------- D:\Documents and Settings\TINNIRELLO Giacomo\Application Data\Lavasoft 2006-11-03 23:43 -------- d-------- D:\Documents and Settings\TINNIRELLO Giacomo\Application Data\Adobe 2006-10-30 20:04 -------- d---s---- D:\Documents and Settings\TINNIRELLO Giacomo\Application Data\Microsoft 2006-10-29 22:44 -------- d-------- D:\Documents and Settings\TINNIRELLO Giacomo\Application Data\Skype (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"D:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe\"" "CTFMON.EXE"="D:\WINDOWS\System32\ctfmon.exe" "msnmsgr"="\"D:\Program Files\MSN Messenger\msnmsgr.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un] "kis"="\"D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe\"" "NvCplDaemon"="RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup" "Services"="D:\WINDOWS\System32\Aosh.exe" "!AVG Anti-Spyware"="\"D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized" "DiskeeperSystray"="\"D:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe\"" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,c0,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion un] "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:000000b5 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^EPSON Status Monitor 3 Environment Check(2).lnk] "path"="D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\EPSON Status Monitor 3 Environment Check(2).lnk" "backup"="D:\WINDOWS\pss\EPSON Status Monitor 3 Environment Check(2).lnkCommon Startup" "location"="Common Startup" "command"="D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE " "item"="EPSON Status Monitor 3 Environment Check(2)" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] "path"="D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk" "backup"="D:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup" "location"="Common Startup" "command"="D:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE " "item"="Lancement rapide d'Adobe Reader" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] "path"="D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk" "backup"="D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="D:\PROGRA~1\MICROS~2\Office\OSA9.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^TINNIRELLO Giacomo^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk] "path"="D:\Documents and Settings\TINNIRELLO Giacomo\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk" "backup"="D:\WINDOWS\pss\Adobe Gamma.lnkStartup" "location"="Startup" "command"="D:\PROGRA~1\FICHIE~1\Adobe\CALIBR~1\ADOBEG~1.EXE " "item"="Adobe Gamma" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="" "hkey"="HKLM" "command"="" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ExtraFilmHemmaAgent] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="Agent" "hkey"="HKLM" "command"="\"D:\Program Files\Extrafilm FotoFacil\Agent.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="MsnMsgr" "hkey"="HKCU" "command"="\"D:\Program Files\MSN Messenger\MsnMsgr.Exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="D:\WINDOWS\System32\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="NvCpl" "hkey"="HKLM" "command"="RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="NvMcTray" "hkey"="HKLM" "command"="RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="nwiz" "hkey"="HKLM" "command"="nwiz.exe /install" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="jusched" "hkey"="HKLM" "command"="D:\Program Files\Java\jre1.5.0_07\bin\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winupdates] "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="winupdates" "hkey"="HKLM" "command"="D:\Program Files\winupdates\winupdates.exe /auto" "inimapping"="0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Completion time: 06-12-29 15:14:38.58 D:\ComboFix.txt ... 06-12-29 15:14 Merci d'avance

Utilisateur anonyme · Answer

je sort du post continue avec boulepate62.

gia17 · Answer

gia17 · Answer

D'accord, y a t-il des manipulations à faire?

Merci à tous

gia17 · Answer

Re bonjour à tous

Le problème qui se pose également est le suivant, je veux lancer un scan avec ad-ware (par exemple), donc je suis sur la première partie (sur D:\) et je lui demande d'analyser la deuxième (c:\), donc l'analyse de déroule correctement, sauf que ca bloque un moment, lorsque ca arrive au niveau de C:\System Volume Information\_restore{696F27AC-80EC-4662-8AD1-351OFC.......

est-ce normal ou alors est-ce un problème au niveau de ce dossier ?

Merci, bonne soirée

Utilisateur anonyme · Answer

Lol philo tu peux revenir s'tu veux ! Mais comme CCM ne fonctionnait pas très bien et que tu ne répondais pas à celui la j'ai répondu..


Clic sur démarrer, rechercher, cherche et supprime ces ficheirs si présent :

- winsecure.exe 
- Aosh.exe

Clic sur démarrer, poste de travail, C:, program files et supprime ce dossier :

- winupdates

**Si un fichier persiste lors de la suppression fait ceci:
-Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisit "mode sans echec" attends un peu.. puis va supprimer les fichiers/dossiers, vide ta corbeille et redémarre ton PC normalement



¤ Fait ce nettoyage: (à faire réguliérement)

¤Telecharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)
---> Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
 
Si tu as besoin d'aide pour Ccleaner, regarde ce tutoriel:
http://www.tutopat.com/viewtopic.php?t=305



¤Clic sur "demarrer", cliques droit sur "poste de travail", "propriétés", onglet "restauration du systeme"

¤ coches la case "desactiver la Restauration du systéme sur tous les lecteurs", puis clic ur "appliquer" 
- Dcoche la case et clic sur "appliquer" puis "ok".

Maintenant, que l'ont à effacés les point infectés, nous allons créer un point propre:

Clic sur "demarrer", "tous les programmes", "accessoires", "outils système", "restauration du système", choisis "créer un point de restauration" nommes le " ccm" par exemple, cliques sur "créer" puis "ok".
Voilà, maintenant le point de restauration est créer si un jour tu décides tu pourra revenir en arriere à la date que tu l'as créer donc à ce jour;  en fesant la marche arriére tu pourra remettre ton ordinateur à la date ou l'on à créer ce point de restauration mais tu perdra les modifications que tu aura faites entre deux.



Ton pare-feu est-il bien activé, celui de Kaspersky ?

gia17 · Answer

Merci,
je n'ai pas trouvé les fichiers à supprimer
Lorsque tu parles de "winupdates ", parles-tu de "windows update" ??

Désolé, mais je ne connais pas trop ce genre de dossier, je n'ose pas m'aventurer, sinon j'ai réalisé les manips avec ccleaner.. et créé un point de restauration

Si le pare-feu de kaspersky c'est le anti-hacker, oui il est bien activé

Merci encore, bonne soirée à vous

Utilisateur anonyme · Answer

T'inquiète, c'est que ça devenait vraimant trés ch..nt de travailler sur CCM...Euhhh,  impossible même par moment ....
On dirait que ça redevient normal...mais j'ose pas le crier trop fort ...chuut....
-----------------------------------------------------------------------------
J'ai repéré ceci:
Fais une sauvegarde de ta base de registre:
https://leblogdeclaude.blogspot.com/2006/10/informatique-sauvegarde-de-la-base-de.html
--------------------------------------------------------------------
Ensuite,

"D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\wuauclt.exe "
Ouvres regedit (tapes regedit dans Exécuter ) et vires cette clé:
inutile, peut fonctionner en manuel.


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurentVersion\Run\Microsoft auto update = WUAULT.EXE 
-------------------------------------------------------------------------
Je conseille de refaire un log HJT et de renommer Hijackthis (Vundo )
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Utilisateur anonyme · Answer

Envoyer une néophyte dans le registre ça craint :-/

gia17 · Answer

Ok, merci à vous deux, je peux faire la manip de philo 2100 sans problèmes alors ?


que veux-tu dire par sa lol, "Envoyer une néophyte dans le registre ça craint" ???

Merci encore, 
Bonne soirée à vous

Utilisateur anonyme · Answer

Pas de soucis...faut te jeter à l'eau c'est pas sorcier en fait...
Comme dit   boulepate62  tu es probablement un néophyte , mais comme ça tu le sera un peu moins...LOL !
Ceci dit, avant toute manip dans la base de registre, tu fais une sauvegarde avant, de cette façon tu seras protégé d'une erreur de manip de ta part.
--------------------------------------------------------------------------------
REgarde comment faire ici:
https://leblogdeclaude.blogspot.com/2006/10/informatique-sauvegarde-de-la-base-de.html
------------------------------------------------------------------------------
pour rappel il sagit de cette clé:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurentVersion\Run\Microsoft auto update = WUAULT.EXE 

Tu peux utiliser la fonction recherche de regedit aussi, mais le mieux est de suivre pas à pas le chemin dans l'arborecence:
Tu te positionnes à droite sur 
HKEY_LOCAL_MACHINE\
ensuite tu tapes la lettre s et tu vas voir le curseur desendre tout seul sur le premier s rencontré, puis tu descends (avec les flèches up/down )jusque : Software
puis tu tapes m, et tu te positionnes sur Microsoft....ect....
quand tu arrives à cette fameuse clé tu fais alors supprimer avec le clic droit de ta souris...
---------------------------------------------------------------------------

gia17 · Answer

Bonjour

D'accord merci, il n'y a pas de souci ;-) j'ai réalisé les manips sur ma première partie ( sur D:\) et il ne semble plus avoir de souci, 

Mais le gros problème qui se pose sur ma deuxième partie, c'est que maintenant j'arrive à démarrer sur cette duxième partie, mais parfois mon ordinateur redémarre tout seul :-(

Je poste un log de HijackThhis au cas où il y aurait des manipulations à faire

Merci encore de votre aide, et d'être autant présent et rpaide à répondre à tout le monde

Logfile of HijackThis v1.99.1
Scan saved at 12:16:57, on 30/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\System32\lvcwhy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32	askmgr.exe
C:\HijackThis\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\System32\efcyyvs.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{38B56~1\Bar888.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{38B56~1\Bar888.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\Run: [{C8B566F8-02BC-1036-0322-010310080021}] "C:\Program Files\Fichiers communs\{C8B566F8-02BC-1036-0322-010310080021}\Update.exe" mc-110-12-0000144
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - 
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: efcyyvs - C:\WINDOWS\SYSTEM32\efcyyvs.dll
O20 - Winlogon Notify: hgggh - C:\WINDOWS\System32\hgggh.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Merci encore

Utilisateur anonyme · Answer

Tu es infecté, j'ai détecté pas mal de lignes, mais commences par ceci:
----------------------------------------------------------------------------

wmiapsrv.exe 

faudra mettre ce sercice en manuel.
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
-------------------------------------------------------------------------
Crée un raccourcis sur ton bureau:
Colles ceci dedans
%SystemRoot%\system32\services.msc /s
Recherche  Windows User Mode Driver Framework dans la colonne de droite.
tu fais clic droit dessus et choisis mode manuel.
------------------------------------------------------------------------
coche +fixer dans un scan seulement de Hijackthis
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab 
Il ya d'autres lignes à cocher, mais fait d'abord ce qu'il y a en dessous...

-----------------------------------------------------------------------------
Renommes ton Hijackthis par ce que tu veux....
exemple ici:
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

télécharges ceci:
http://www.atribune.org/ccount/click.php?id=4
Tu feras un scan puis un remove vundo.
refaits un log Hijackthis.
---------------------------------------------------------------------------

Utilisateur anonyme · Answer

Il l'a déjà renommé lol ;-)

Windows User Mode Driver Framework < a arrêté et non à mettre sur "manuel" :P

gia17 · Answer

Ok merci, voila j'ai fait toute les opérations indiquées...

Voici le nouveau log de HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 15:24:30, on 30/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32	askmgr.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\System32\lvcwhy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\System32\efcyyvs.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{38B56~1\Bar888.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{38B56~1\Bar888.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\Run: [{C8B566F8-02BC-1036-0322-010310080021}] "C:\Program Files\Fichiers communs\{C8B566F8-02BC-1036-0322-010310080021}\Update.exe" mc-110-12-0000144
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: efcyyvs - C:\WINDOWS\SYSTEM32\efcyyvs.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Encore merci et bonne journée

Utilisateur anonyme · Answer

Manuel ou arrêté...je vois que les avis sont partagés sur le Net...
"hijackthis vf.exe " le mot hijackthis  est détectable, il est préférable d'en changer complètement.

Utilisateur anonyme · Answer

il l'a renommé d'un espace et on ne laisse pas un service créée par un virus en manuel, je vois pas trop ou tu as lu ça

gia17 · Answer

Lol, que dois-je faire alors ???

Bonne après-midi à vous

Utilisateur anonyme · Answer

Je t'explique:
je prend un exemple, parmis d'autres...ok ?
Par exemple ici:
Regardes le message de : (le 5ème)
http://209.85.129.104/search?q=cache:ZFSOVhVK67oJ:www.informatruc.com/forum/ftopic20545.php+renommer+hijackthis&hl=fr&gl=fr&ct=clnk&cd=3

"Loreleï
Membre fondateur"

Renomme HijackThis.exe en Mokajena.exe, et poste un nouveau log...
Il y a des helpeurs qui le font renomer d'autres pas,  il y a aussi des helpeurs qui font appliquer des procédures de désinfections prélimaires au log HJT et d'autres pas du tout...
En résumé chaque helpeur à sa technique, si tu n'est pas d'accord, c'est ton choix, je le respecte.
"et on ne laisse pas un service créée par un virus en manuel,"
ça c'est tout à fait discutable, j'ai cette ligne active dans mon log HJT...ça ne vient pas forcément d'un virus.
Windows User Mode Driver Framework
-------------------------------------------------------------------
Maintenant si tu préfères faire appliquer tes idées, pas de problème tu reprends le post et je le quitte, ok ?
C'est comme tu le sens....

Mais je te fais remarquer que le post <2> est signé Philo2100.

Utilisateur anonyme · Answer

mais il l'a déjà renommé ! Tu regarderais la différenc eentre les deux rapports aussi.. 
:-(

Puis c'est cette ligne à désactivé non l'autre ..

Microsoft Star Window Service

Utilisateur anonyme · Answer

J'attends la réponse de boulepate62  par courtoisie.

Utilisateur anonyme · Answer

???? ... tu fais ce que tu veux lol 

A cette allure la tu peux tout désactiver en une fois alors en y ajoutant cette ligne et le reste qui va avec dans le rapport au dessus

La ligne que tu veux faire mettre en manuel redémarrera à chaque utilisation du lecteur, donc bon, je trouve pas ou est l'utilité de cette manip ?

_______
Network helper Service

J'te laisse chassé ;-)

Utilisateur anonyme · Answer

Merci de ta réponse   boulepate62 .
------------------------------------------------------------------------------
Bon, je vais me reconcenter sur ton problème   gia17 .

Parfait je vois que tu as renommer Hijackthis.
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe 
-----------------------------------------------------------------------
Un petit détail je vois que tu utilises Iexplorer.exe
Je ne te le conseille pas comme naviguateur habituel.
Regardes ce que j'en pense ici: (euhh, comme beaucoup d'autres je te rassure !!!!)

https://leblogdeclaude.blogspot.com/2006/10/informatique-comment-se-protger-si-on.html

-------------------------------------------------------------------
Lances Hijackthis/choisis le bouton outils.
Tu arrives ici:
https://www.hiboox.com
Clic sur Enlever un service NT
copies:  svcshoter.exe
source:
C:\WINDOWS\System32\dllcache\svcshoter.exe 
-----------------------------------------------------------------
Ensuite tu vois le bouton, Supp un fichier au reboot:
Tu fais un copier/coller de la ligne
C:\WINDOWS\System32\dllcache\svcshoter.exe 
-------------------------------------------------------------------
Reboot la machine.
Fais déjà ça et reposte un log HJT.

gia17 · Answer

Merci de ta réponse philo2100 et boulepate62

tout d'abord je souhaite une bonne année à tout le monde...

Je vais faire les manipulations et reposté un log...

Merci encore de votre aide et du temps que vous passez sur le forum

Utilisateur anonyme · Answer

message reçu

gia17 · Answer

Bonjour à tous
Donc voici le log HiackThis

Logfile of HijackThis v1.99.1
Scan saved at 09:46:30, on 04/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\System32	askmgr.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\yayxyyy.dll
O2 - BHO: (no name) - {28C37E1D-2201-46DB-B839-8763827064BA} - C:\WINDOWS\System32\cbaab.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll
O2 - BHO: (no name) - {CF547ED0-F782-4562-9ED0-A2C83679729B} - C:\WINDOWS\System32\cbaab.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [{C8B566F8-02BC-1036-0322-010310080021}] "C:\Program Files\Fichiers communs\{C8B566F8-02BC-1036-0322-010310080021}\Update.exe" mc-110-12-0000144
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: cbaab - C:\WINDOWS\System32\cbaab.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

merci de votre aide, ,bonne journée

A titre d'info, je suis passé a Mozilla FireFox, mais j'ai des petits soucis sur certaines pages: elles mettent 1min pour s'afficher...j'attend quelquels temps pour voir comment ca évolu...

Utilisateur anonyme · Answer

Télécharge vundofix:
http://www.clubic.com/telecharger-fiche25107-vundofix.html
Tu scan puis tu supprimes s'il trouve.
A mon avis il va trouver...
----------------------------------------------------------------------
Télécharge Smitfraud
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Faits un scan + copie du log
    * Déziper le fichier dans un dossier "smitfraudfix.zip" sur le bureau.

    * Double clic sur l'icône "smitfraudfix.cmd" .
    *  Sélectionnes l'option 1 ( intitulé "recherche" ) +"Enter".
      Enregistrer le log pour pouvoir poster le rapport dans le forum. 



Refaits un log HJT

gia17 · Answer

Donc j'ai télécgargé vundofix, et il ne trouve rien...bonne ou mauvaise nouvelle ?

Je poste le rapport de SmitfraudFix et un nouveau log HJT ?

SmitFraudFix v2.132

Rapport fait à 11:35:51,63, 04/01/2007
Executé à partir de C:\Documents and Settings\Bidule\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bidule


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bidule\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\TINNIR~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\PCODEC\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Merci

Utilisateur anonyme · Answer

Redémarre l'ordi en mode sans échec.
Redémarres Smitfraud et choisis l'option 2.
Une fois terminé, reboot en mode normal.
Refais un log HJT

gia17 · Answer

Bonsoir Philo2100

Désolé d'avoir mis autant de temps à répondre

J'ai donc démarrer en mode sans échec, et choisis l'option 2 de Smitfraud
Voici le nouveau log HJT:

Logfile of HijackThis v1.99.1
Scan saved at 19:14:54, on 07/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32	askmgr.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\yayxyyy.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O2 - BHO: (no name) - {82642FFA-AE40-46F2-9DB0-523273D384FF} - C:\WINDOWS\System32\cbaab.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: cbaab - C:\WINDOWS\System32\cbaab.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Je suis actuellement sur Firefox, et les pages mettent 3fois plus de temps à s'ouvrir, est-ce normal ? (dans mon pare-feu, tous les ports sont ouverts pour firefox)

De plus, j'ai un message qui vient régulièrement de Bitdefender:
"C:\WINDOWS\System32\cbaab.dll
Infecté par MemScan:Adware.Vundo.B

J'ai remarqué également que le pc démarré correctement (sans que l'UC utilisé monte à 100%) dès que mon antivirus BitDefender n'est pas activé, dois-je changer d'antivirus ?

Meci encore à toi, et à tout ce qui cherche des solutions...
Bonne soirée

Utilisateur anonyme · Answer

désactives AVG :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe 
Il ne doit pas être actif durant la désinfection.
-----------------------------------------------------------------------------
Ceci dit tu as Installé Msns plus ?

O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe 
------------------------------------------------------------------------
Si oui enlèves -le !
--------------------------------------------------------------------
Download ceci:
http://www.clubic.com/telecharger-fiche25107-vundofix.html
fait un scan...puis remove
Refaits un log HJT
nous verrons bien si ces lignes ont survécu:
O20 - Winlogon Notify: cbaab - C:\WINDOWS\System32\cbaab.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll

gia17 · Answer

Donc je n'ai jamais installé msn plus,

j'ai désactivé AVG, lancé VundoFix et après 50min de scan, il ne trouve rien

Voici le nouveau log HJT
Que dois-je faire ?

Logfile of HijackThis v1.99.1
Scan saved at 21:45:25, on 07/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\yayxyyy.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O2 - BHO: (no name) - {82642FFA-AE40-46F2-9DB0-523273D384FF} - C:\WINDOWS\System32\cbaab.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: cbaab - C:\WINDOWS\System32\cbaab.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Bonne soirée

Utilisateur anonyme · Answer

Refaits un scan seul avec HJT+cocher et fixer:
R3 - URLSearchHook: (no name) - - (no file) 
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) 
O20 - Winlogon Notify: cbaab - C:\WINDOWS\System32\cbaab.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll 
-----------------------------------------------------------------------------
Désactive ce service de AVG:
Regarde aussi dans Msconfig si tu le vois dansq l'onglet démarrage.
Décoche
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe 
--------------------------------------------------------------------------
Télécharge
 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
On va Utiliser maintenant smitfraudfix
--------------------------------------------------

    * Déziper le fichier dans un dossier "smitfraudfix.zip" sur le bureau.

    * Double clic sur l'icône "smitfraudfix.cmd" .
Sélectionnes l'option 1 ( intitulé "recherche" ) +"Enter".
Enregistrer le log pour pouvoir poster le rapport dans le forum.
------------------------------------------------------------------------
télécharges:
https://www.broadcom.com/support/security-center
lances le, s'il détecte fait remove.

gia17 · Answer

Bonjour

Voila j'ai fixé les lignes indiquées
par contre je n'arrive pas à désactiver guard.exe
fixVundo n'a rien trouvé...

Voila le rapport de Smitfraudfix...

SmitFraudFix v2.132

Rapport fait à 21:06:25,59, 09/01/2007
Executé à partir de C:\Documents and Settings\Bidule\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bidule


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bidule\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\TINNIR~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Merci encore
Bonne soirée

gia17 · Answer

re, c'est encore moi, 

voila, j'a fixé (tout à l'heure) les lignes suivantes:
O20 - Winlogon Notify: cbaab - C:\WINDOWS\System32\cbaab.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll 

et je viens de refaire un log HJT, et elles y sont toujours, 
que dois-je faire ?
De plus, j'ai toujours des problèmes avec FireFox (tout comme IE), les pages mettent 3fois plus de temps à s'afficher par rapport à avant !

merci encore à tous
Bonne soirée

Utilisateur anonyme · Answer

télécharge ceci:
https://europe.f-secure.com/exclude/blacklight/blbeta.exe
Tu accecptes la licence, tu fais NEXT puis tu scan.

gia17 · Answer

Bonjour philo 2100

j'ai téléchargé blbeta.exe, et il ne trouve rien ....

Pourtant il y a bien un problème!!!
Sur ma première partie je navigue sur le web sans problème, alors que sur cette partie (la deuxième), les pages mettent 1min à s'afficher !!! alors que c'est la même connexion :-(

Y a t-il d'autres manipulations à faire ?
Merci d'avance pour ton aide
bonne journée

Utilisateur anonyme · Answer

Comme tu dis...il y a un problème...j'appronfondis, on a du louper un truc !

Utilisateur anonyme · Answer

Je suis persuadé que c'est Vundo...
refait un scan avec Vundofix.exe en mode sans échec !

gia17 · Answer

OK , je vais faire un scan en mode sans échec...
(j'ai toujours ce message de bitdefender:
"C:\WINDOWS\System32\cbaab.dll 
Infecté par MemScan:Adware.Vundo.B)

je re tout de suite après

gia17 · Answer

Re, donc voila j'ai fais un scan avec vundofix.exe en mode sans échec
et il ne trouve toujours rien

Pour information, quand je lance en mode sans échec, mon bureau de s'affiche pas, j'ai donc démarrer vundofix en faisant Ctrl+Alt+Suppr   ==> fichier=>nouvelle tâche...

Merci encore
Bonne soirée

^^Marie^^ · Answer

Salut,

En passant tu peux refaire un Hitjakthis
stp
merci

gia17 · Answer

Bonjour marie

Voici un log HJT

Merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 10:32:16, on 12/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\yayxyyy.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O2 - BHO: (no name) - {F7D042F5-2223-45D3-BAA9-B33EFAD9A02E} - C:\WINDOWS\System32\cbaab.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\cywugbak.dll",setvm
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: cbaab - C:\WINDOWS\System32\cbaab.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Merci 
Bonne journée

Utilisateur anonyme · Answer

Bon, on va essayer ceci pour les 020:
télécharges ceci:
http://www.downloads.subratam.org/l2mfix.exe
Double-cliquer sur l2mfix.exe pour lancer l'extraction
Dans le dossier l2mfix, double clic sur l2mfix.bat, appuyer sur n'importe quelle touche puis choisir l'option #1 (et pas autre chose) et valider avec la touche entrée.
Le bloc-notes va s'ouvrir avec le résultat du scan.

Ensuite relancer l2mfix.bat
et choisir l'option 2
Il va demander d'appuyer sur une touche pour redémarrer ..
Refaits ensuite un log Hijackthis

gia17 · Answer

ok, merci philo2100 pour la réponse
faut-il faire la manip en mode sans échec ou en normal ?

Utilisateur anonyme · Answer

Essayes d'abord en mode normal.
Si elles apparaissent encore le mode sans échec.

Séb08 · Answer

slt tous,

Gia est ce que tu peux me faire un scan avec ceci STP

Télécharge VundoFix (par Atribune) de ce lien : 
http://www.atribune.org/ccount/click.php?id=4 

* Sauvegarde-le sur ton Bureau. 
* Double-clique VundoFix.exe afin de le lancer 
* Clique sur le bouton Scan for Vundo 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers 
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

je dois m'absenter mais je serai de retour en soirée je pense.

A+

^^Marie^^ · Answer

Nous aurons la comparaison entre les deux logs...

Utilisateur anonyme · Answer

ok, message capté !!!
On va l'avoir !

gia17 · Answer

Donc voila le nouveau log HJT après la manip avec l2mfix.bat proposé par philo2100

Logfile of HijackThis v1.99.1
Scan saved at 12:03:02, on 12/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32	askmgr.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\yayxyyy.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {443D7A14-3684-4AC5-B76B-32BF93970F2B} - C:\WINDOWS\System32\cbaab.dll
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\cywugbak.dll",setvm
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: cbaab - C:\WINDOWS\System32\cbaab.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Merci à tous pour les propositions, je vais faire ce que Seb propose

Mais pour information, lorsque je redémarre mon pc, il me met un message d'erreur dès l'affichage du bureau :
'C:\WINDOWS\System32\cywugbak.dll
le module spécifié est introuvable"...

je fais les manipulations de Seb et reposte un nouveau log HJT

Merci encore à tous

gia17 · Answer

Donc me revoile, mais avec d'autres problèmes, et beaucoup plus grave...

Je vous écris de mon deuxième pc...car le première (celui où j'avais mon problème ne démarre plus) je m'explique

J'ai fais les mani de Seb: j'ai lancé VundoFix, sélectionné Scan for Vundo....le scan démarre, mais au bout de 2-3minutes, mon pc se met à redémarrer tout seul...

[Pour rappel j'ai deux parties sur mon ordi]
Donc mon pc redémarre, et je dois choisir sur quelle partie démarrer...je choisis, et là écran noir....j'ai beau attendre 30min, l'écran reste noir
Le problème est le même si je veux démarrer ma deuxième partie, et même lorsque je démarre en mode sans échec

J'ai donc voulu démarre le pc à partir du cd de windows...même problème


Est-ce mon disque dur qui est mort ?

Merci à tous

gia17 · Answer

quand je démarre à partir du cd (j'y arrive une fois sur 10)

j'ai le message suivant qui apparait :

"le fichier setupd.sys n'a pas pu etre chargé Le code d'erreur est 4
Le programme d'installation ne peut pas continuer
Appuez sur une touche pour quitter"

Merci

gia17 · Answer

Recoucou tout le monde

juste un message pour vous dire que j'ai réussi à redémarrer mon pc:

j'ai enlevé ma carte réseau, et 2barettes de ram, et il a redémarré, je ne sais pas si le problème vient réellement de là, mais bon....lol

Dois-je refaire la manip de Seb ?

Bonne journée

Utilisateur anonyme · Answer

Re,

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien les trois petites notes au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7

Ferme toutes les fenêtres actives avant de passer à l'étape suivante.

• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
• Coche Run this program as a task
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
• Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M ; les icônes de ton Bureau vont disparaître : c'est normal.
• Lorsque le scan termine, clique sur le bouton Remove L2M
• Un message Done Scanning apparaîtra, clique OK.
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer ; clique OK.
• Ton PC va maintenant s'éteindre.
• Démarre ton PC normalement.

• Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

*Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

**Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.

***Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX
=============================

Séb08 · Answer

oui fais ma manip STP

a+

gia17 · Answer

Bonsoir tout le monde

Que dois-je faire en 1er ? la manip proposée par Seb ou celle proposés par Philo ?

Merci encore
et bonne soirée à tous

Séb08 · Answer

fais la mienne STP

a+

Utilisateur anonyme · Answer

Tu en est où dans ton soucis ?

gia17 · Answer

voici les rapports après la manip de Seb


VundoFix V6.2.13

Checking Java version...

Java version is 1.5.0.5

Java version is 1.5.0.6

Scan started at 16:21:28 13/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\cbaab.dll
C:\WINDOWS\System32\baabc.ini
C:\WINDOWS\System32\baabc.bak1
C:\WINDOWS\System32\baabc.bak2
C:\WINDOWS\System32\baabc.ini2
C:\WINDOWS\System32\baabc.tmp

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\cbaab.dll
C:\WINDOWS\System32\cbaab.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\baabc.ini
C:\WINDOWS\System32\baabc.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\baabc.bak1
C:\WINDOWS\System32\baabc.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\baabc.bak2
C:\WINDOWS\System32\baabc.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\baabc.ini2
C:\WINDOWS\System32\baabc.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\baabc.tmp
C:\WINDOWS\System32\baabc.tmp Has been deleted!

Performing Repairs to the registry.
Done!




et le nouveau rapport HJT

Logfile of HijackThis v1.99.1
Scan saved at 16:28:14, on 13/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkServiceA.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32	askmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\yayxyyy.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\cywugbak.dll",setvm
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

dois-je faire la manip de philo ??

Merci beaucoup

^^Marie^^ · Answer

dois-je faire la manip de philo ?? 

Oui, fais la
Stp
Merci

A++

Regis59 · Answer

Salut à tous,

[On est tous la pour aider, la on dirait qu'on se tire dans les pattes...]

C'est du vundo.
Soit vous supprimez avec l'option manuelle de vundofix soit vous utilisez la méthode manuelle avec killbox et processxp.

A+

Séb08 · Answer

Ou t'as vu qu'on se tirait dans les pattes ? Gia, avant toute chose fais cette manip s'il te plait 1) Va sur ce site : http://www.uploadmalware.com/ ...pour uploader un fichier douteux pour analyse. *"Your Username": -> Entre ton pseudo de ce forum *"Topic Where File Was Requested": -> Copie/colle le lien vers cette discussion *"File(s) To Submit": ->Case "1" ->Bouton [Parcourir...] pour naviguer vers ce nom de fichier : C:\WINDOWS\SYSTEM32\yayxyyy.dll *Répète pour le second fichier (case "2") : *Clique sur Send File *Merci :-) ================= Ensuite : 2) Suppression des fichiers : *Lance VundoFix, mais ne clique pas "Scan for Vundo" *Fais un clic droit dans la fenêtre blanche de l'outil et choisis Add more files? *Dans la première case, colle ceci : C:\WINDOWS\SYSTEM32\yayxyyy.dll *Clique sur le bouton Add file, puis sur Close Window *Clique maintenant sur Remove Vundo *Une invite te demandera si tu veux supprimer les fichiers; clique *Ton Bureau va disparaître un moment, puis l'outil t'avertira qu'il doit redémarrer; clique Ok *Colle le rapport de l'outil, situé à C:\vundofix.txt dans ta prochaine réponse, ainsi qu'un nouveau rapport HijackThis! A+

gia17 · Answer

Donc voici le nouveau rapport de Vundo

VundoFix V6.2.13

Checking Java version...

Java version is 1.5.0.5

Java version is 1.5.0.6

Scan started at 18:53:00 13/01/2007

Listing files found while scanning....


Beginning removal...

Performing Repairs to the registry.
Done!



et celui de HJT

Logfile of HijackThis v1.99.1
Scan saved at 19:43:23, on 13/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {04CE7054-A4E2-4CC2-82E1-FC349CCB0B8D} - C:\WINDOWS\System32\opnkl.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\cywugbak.dll",setvm
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: opnkl - C:\WINDOWS\System32\opnkl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Merci

Bonne soirée

Utilisateur anonyme · Answer

Liste à éliminer ------------------------------------------------ kuvxhhfp.dll opnkl.dll cbaab.dll hgggh.dll boinlovf.dll ------------------------------------------------------------------------------ *Lance VundoFix, mais ne clique pas "Scan for Vundo" *Fais un clic droit dans la fenêtre blanche de l'outil et choisis Add more files? *Dans la première case, colle ceci : C:\WINDOWS\SYSTEM32\"voir liste ".dll *Clique sur le bouton Add file, puis sur Close Window *Clique maintenant sur Remove Vundo *Une invite te demandera si tu veux supprimer les fichiers; clique *Ton Bureau va disparaître un moment, puis l'outil t'avertira qu'il doit redémarrer; clique Ok *Colle le rapport de l'outil, situé à C:\vundofix.txt dans ta prochaine réponse, ainsi qu'un nouveau rapport HijackThis! (Seb08, je me suis permis de faire un copier/coller de ton texte ;-)) --------------------------------------------------------------------------- scan + coche dans Hijackthis O2 - BHO: (no name) - {04CE7054-A4E2-4CC2-82E1-FC349CCB0B8D} - C:\WINDOWS\System32\opnkl.dll O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing) O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing) O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing) O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing) O20 - Winlogon Notify: opnkl - C:\WINDOWS\System32\opnkl.dll O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing) --------------------------------------------------------------------------- désactiver ce service tapes dans Démarre/Exécuter/ services.msc recherche Microsoft Star Window Service O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing) ------------------------------------------------------------------------- je crois que ça en remet une couche à chaque démarrage.... source: http://209.85.129.104/search?q=cache:uEuGpJfTTJ4J:www.trendmicro.com/vinfo/virusencyclo/default5.asp%3FVName%3DWORM_SDBOT.ANK%26VSect%3DT+svcshoter.exe&hl=fr&gl=fr&ct=clnk&cd=3 Pour Info ---------------------- Installation Upon execution, this worm drops a copy of itself as SVCSHOTER.EXE in the %System%\DLLCACHE folder. (Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, or C:\Windows\System32 on Windows XP and Server 2003.) Autostart Technique On Windows NT, 2000, XP, and Server 2003, it registers itself as a service to ensure its automatic execution at every system startup. It does the said routine by creating the following registry key and entry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Microsoft Star Window Service ImagePath = "%System%\DLLCACHE\SVCSHOTER.EXE" -----------------------------------------------------------------------------

Gros problème avec pc (gros virus ?!)

70 réponses