Erreur démarrage qfyqakn.dll

bart53 Messages postés 12 Statut Membre -  
 Utilisateur anonyme -
Bonjour depuis quelques jours j'ai un message au démarrage de mon PC (sous Windows XP) qui me dis qu'une erreur de chargement s'est produite.
J'ai suivi les explications qui figure sur ce site et je joins les différents rapports editées

le 1er par AVG

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:40:57 02/01/2007

+ Résultat de l'analyse:

HKU\.DEFAULT\Software\salm -> Adware.180Solutions : Ignoré.
HKU\S-1-5-18\Software\salm -> Adware.180Solutions : Ignoré.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Adware.InternetOptimizer : Ignoré.
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Adware.InternetOptimizer : Ignoré.
HKU\S-1-5-21-1229577469-2677317596-3717072875-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Windows installer -> Adware.PestTrap : Ignoré.
C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163639.dll -> Adware.SearchAssistant : Ignoré.
C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163640.dll -> Adware.SearchAssistant : Ignoré.
C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163641.dll -> Adware.SearchAssistant : Ignoré.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : Ignoré.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[2].txt -> TrackingCookie.Adtech : Ignoré.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@atdmt[2].txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Ignoré.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[2].txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoré.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.

Fin du rapport

Le 2eme par Bit defender
BitDefender Online Scanner

Scan report generated at: Tue, Jan 02, 2007 - 20:43:09

Scan path: A:\;C:\;D:\;E:\;F:\;

Statistics

Time
02:59:13

Files
1236856

Folders
5299

Boot Sectors
3

Archives
25778

Packed Files
172953

Results

Identified Viruses
4

Infected Files
7

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
7

Engines Info

Virus Definitions
363631

Engine build
AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)

Scan plugins
14

Archive plugins
38

Unpack plugins
6

E-mail plugins
6

System plugins
1

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CPWJIB03\webmail[1].fcgi=>(gzip)
Infected with: Exploit.Iframe.Vulnerability.B

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CPWJIB03\webmail[1].fcgi=>(gzip)
Disinfection failed

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CPWJIB03\webmail[1].fcgi=>(gzip)
Deleted

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CPWJIB03\webmail[1].fcgi
Update failed

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581\webmail[1].fcgi=>(gzip)
Infected with: Exploit.Iframe.Vulnerability.B

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581\webmail[1].fcgi=>(gzip)
Disinfection failed

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581\webmail[1].fcgi=>(gzip)
Deleted

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581\webmail[1].fcgi
Update failed

C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163640.dll
Infected with: DeepScan:Generic.Zlob.1A9E7725

C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163640.dll
Disinfection failed

C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163640.dll
Deleted

C:\WINDOWS\system32\.pif
Infected with: Generic.Botget.EBF0B4B4

C:\WINDOWS\system32\.pif
Deleted

C:\WINDOWS\system32\c.bat
Infected with: Generic.Botget.2F641290

C:\WINDOWS\system32\c.bat
Deleted

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPWJIB03\webmail[1].fcgi=>(gzip)
Infected with: Exploit.Iframe.Vulnerability.B

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPWJIB03\webmail[1].fcgi=>(gzip)
Disinfection failed

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPWJIB03\webmail[1].fcgi=>(gzip)
Deleted

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPWJIB03\webmail[1].fcgi
Update failed

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581\webmail[1].fcgi=>(gzip)
Infected with: Exploit.Iframe.Vulnerability.B

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581\webmail[1].fcgi=>(gzip)
Disinfection failed

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581\webmail[1].fcgi=>(gzip)
Deleted

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581\webmail[1].fcgi
Update failed

et le dernier par le programme HijackThis.exe
Logfile of HijackThis v1.99.1
Scan saved at 20:53:05, on 02/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\QuickZip\QuickZip.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {511F9316-771B-4953-A268-1C36DA667FE9} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Network Host Service] rjeodcr32.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\oadotssk.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [qfyqakn.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\Propriétaire\Local Settings\Application Data\qfyqakn.dll",xysmkvf
O4 - HKLM\..\Run: [nxndl.exe] C:\WINDOWS\System32\nxndl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Network Host Service] rjeodcr32.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Key] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\20F.tmp
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F06163A-F469-4226-9280-9BF5E8048862}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{A99B3089-6CFF-4EC7-AF1F-5962CA510806}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD745CD8-8584-404B-B62C-EA540F3CAF24}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{F06A0F8D-5F3D-4F4C-AAC2-F7246AD3BA4B}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Idhohjfo.dll (file missing)
O21 - SSODL: zlAZRggnja - {ACC0085C-066A-A2F6-577F-93789FF60700} - C:\WINDOWS\System32\acat.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi1657812.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32:svchost.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Merci de me dire la marche a suivre maintenant

Pascal
Configuration: Windows XP
Internet Explorer 6.0

8 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Beaucoup d'infections.

    Télécharge FixWareout de l'un de ces deux liens :
    http://downloads.subratam.org/Fixwareout.exe
    https://www.bleepingcomputer.com/download/linux/

    Sauvegarde-le sur ton Bureau, puis lance-le.
    Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
    Suis les directives à l'écran.
    L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.
    Le redémarrage risque de prendre un peu plus de temps; ceci est normal.

    Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis.

    Poste aussi ce rapport.
    Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
    https://www.f-secure.com/en
    Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
    Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)
    Copie et colle le contenu de ce rapport dans ta prochaine réponse
    0
    1. bart53 Messages postés 12 Statut Membre
       
      Bonsoir Chercheurbis,

      Voici ce que cela donne:
      FixWareout

      Check for missing files
      .....
      C:\WINDOWS\system32\AUTOEXEC.NT not there
      .....
      End check for missing files
      .....
      please post this at the forum


      HijackThis

      Logfile of HijackThis v1.99.1
      Scan saved at 22:19:10, on 03/01/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\System32\svchost.exe
      C:\windows\system\hpsysdrv.exe
      C:\HP\KBD\KBD.EXE
      C:\WINDOWS\ALCXMNTR.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\PROGRA~1\MESSAG~1\StartMessager.exe
      C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      C:\WINDOWS\vsnpstd2.exe
      C:\Program Files\MessengerPlus! 3\MsgPlus.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
      C:\PROGRA~1\Wanadoo\ComComp.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
      C:\PROGRA~1\Wanadoo\Watch.exe
      C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
      C:\Program Files\QuickZip\QuickZip.exe
      C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr8.hpwis.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: (no name) - {511F9316-771B-4953-A268-1C36DA667FE9} - (no file)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
      O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [Network Host Service] rjeodcr32.exe
      O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\oadotssk.exe
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
      O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
      O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
      O4 - HKLM\..\Run: [qfyqakn.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\Propriétaire\Local Settings\Application Data\qfyqakn.dll",xysmkvf
      O4 - HKLM\..\Run: [nxndl.exe] C:\WINDOWS\System32\nxndl.exe
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\RunServices: [Network Host Service] rjeodcr32.exe
      O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
      O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
      O4 - HKCU\..\Run: [Key] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\20F.tmp
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: hp psc 1000 series.lnk = ?
      O4 - Global Startup: hpoddt01.exe.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{6F06163A-F469-4226-9280-9BF5E8048862}: NameServer = 85.255.115.116,85.255.112.169
      O17 - HKLM\System\CCS\Services\Tcpip\..\{A99B3089-6CFF-4EC7-AF1F-5962CA510806}: NameServer = 85.255.115.116,85.255.112.169
      O17 - HKLM\System\CCS\Services\Tcpip\..\{CD745CD8-8584-404B-B62C-EA540F3CAF24}: NameServer = 80.10.246.1 80.10.246.132
      O17 - HKLM\System\CCS\Services\Tcpip\..\{F06A0F8D-5F3D-4F4C-AAC2-F7246AD3BA4B}: NameServer = 85.255.115.116,85.255.112.169
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
      O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Idhohjfo.dll (file missing)
      O21 - SSODL: zlAZRggnja - {ACC0085C-066A-A2F6-577F-93789FF60700} - C:\WINDOWS\System32\acat.dll (file missing)
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi1657812.exe (file missing)
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32:svchost.exe (file missing)
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



      Et Blacklight

      01/03/07 22:03:09 [Info]: BlackLight Engine 1.0.55 initialized
      01/03/07 22:03:09 [Info]: OS: 5.1 build 2600 (Service Pack 1)
      01/03/07 22:03:09 [Note]: 7019 4
      01/03/07 22:03:09 [Note]: 7005 0
      01/03/07 22:03:20 [Note]: 7006 0
      01/03/07 22:03:20 [Note]: 7011 1456
      01/03/07 22:03:20 [Note]: 7026 0
      01/03/07 22:03:20 [Note]: 7026 0
      01/03/07 22:03:44 [Note]: FSRAW library version 1.7.1021
      01/03/07 22:15:16 [Note]: 7007 0


      Merci de ton aide

      Pascal
      0
  2. Utilisateur anonyme
     
    Bonsoir

    Fixwareout n'a pas fonctionné, car il y a un problème avec le fichier AUTOEXEC.NT . Il faut le réparer.
    Tu va récupérer le fichier autoexec.nt dans c:\windows\repair
    Fait un copier et colle le dans c:\windows\system32
    Puis afficher ses proprietés et cocher Attributs : Lecture seule.

    Ensuite, tu refais la manip avec Fixwareout et d'autres outils.

    $$ Télécharge
    SDFix sur ton bureau
    http://downloads.andymanchesta.com/RemovalTools/SDFix.zip

    clean.zip
    http://www.malekal.com/download/clean.zip
    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

    $$ Télécharge FixWareout de l'un de ces deux liens si tu ne l'as plus.:
    http://downloads.subratam.org/Fixwareout.exe
    https://www.bleepingcomputer.com/download/linux/
    Sauvegarde-le sur ton Bureau, puis lance-le.
    Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
    Suis les directives à l'écran.
    L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.

    $$ Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
    Démarre l'ordinateur.
    Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
    En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

    $$ Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
    Une fenêtre noire va apparaître pendant un instant, clique sur l'option 2.
    Sauvegarde le rapport.

    $$ Fais un clic droit sur SDFix.zip et choisis "Extraire tout"
    Double-clique sur RunThis.bat
    Tape Y pour lancer le script.
    Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
    Presse une touche pour redémarrer
    Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

    Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec le rapport qui se trouve ici C:\rapport_clean.txt , un nouveau HijackThis et le rapport de FixWareout.
    0
    1. bart53 Messages postés 12 Statut Membre
       
      Bonsoir,

      Voici les rapports demandés

      SDFix: Version 1.54
      ****************

      04/01/2007 - 22:21:35,42

      Microsoft Windows XP [version 5.1.2600]

      Running From: C:\SDFix

      Stage One - Safe Mode

      Checking Services...

      Service Name:

      aspi113210
      ICF

      File Path:

      C:\WINDOWS\System32\aspi1657812.exe
      C:\WINDOWS\System32:svchost.exe

      aspi113210 Deleted...
      ICF Deleted...

      Starting Registry Repairs...
      Killing PID 128 'smss.exe'
      Killing PID 200 'winlogon.exe'

      Restoring Default Hosts File...

      Stage One Complete

      Rebooting...

      Stage Two - Normal Mode

      Checking For Malware:
      --------------------

      C:\WINDOWS\system32\aspi1657812.exe
      C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\_check32.bat
      C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\_td212.tmp
      C:\WINDOWS\emdat.tm
      C:\WINDOWS\emdat.tmp
      C:\WINDOWS\s32.txt
      C:\WINDOWS\system32\rpcc.dll
      C:\WINDOWS\ws386.ini

      Backing Up and Removing any Files Found...

      Alternate Stream Check:

      C:\WINDOWS\system32
      No streams found.
      Final Check:

      Remaining Services:
      ------------------

      [COLOR=RED][B]Rootkit PE386 Found![/COLOR][/B]


      Remaining Files:
      ---------------

      Backups Folder: - C:\SDFix\backups\backups.zip

      Checking for files with Hidden Attributes:

      C:\NTDETECT.COM
      C:\Documents and Settings\Default User\Mes documents\Mes fichiers re‡us\Microsoft Office XP PRO (word, excel, powerpoint, outlook, access, frontpage, Publisher 2003)\MSDE2000\SQLRESLD.DLL
      C:\WINDOWS\system32\config\systemprofile\Mes documents\Mes fichiers re‡us\Microsoft Office XP PRO (word, excel, powerpoint, outlook, access, frontpage, Publisher 2003)\MSDE2000\SQLRESLD.DLL
      C:\WINDOWS\system32\cdplayer.exe.manifest
      C:\WINDOWS\system32\logonui.exe.manifest
      C:\hiberfil.sys
      C:\IO.SYS
      C:\MSDOS.SYS
      C:\pagefile.sys
      C:\WINDOWS\SMINST\HPCD.SYS
      C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL2128.tmp
      C:\Documents and Settings\Propri‚taire\Mes documents\Priscille\~WRL1106.tmp
      C:\Documents and Settings\Propri‚taire\Mes documents\Priscille\~WRL1418.tmp
      C:\Documents and Settings\Propri‚taire\Mes documents\Priscille\~WRL2098.tmp
      C:\Documents and Settings\Propri‚taire\Mes documents\Priscille\~WRL2190.tmp
      C:\Documents and Settings\Propri‚taire\Mes documents\Priscille\~WRL3859.tmp

      FINISHED!


      Puis

      Script execute en mode sans echec
      Rapport clean par Malekal_morte - http://www.malekal.com
      Option 2, executee le 04/01/2007 a 22:15:18,53

      Microsoft Windows XP [version 5.1.2600]

      *** Suppression de fichiers sur C:

      *** Suppression des fichiers dans C:\WINDOWS\

      *** Suppression des fichiers dans C:\WINDOWS\system32
      tentative de suppression de C:\WINDOWS\system32\rpcc.dll
      Impossible de supprimer C:\WINDOWS\system32\rpcc.dll


      *** Suppression des clefs du registre effectuee..
      *** Fin du rapport !


      Puis

      Logfile of HijackThis v1.99.1
      Scan saved at 22:49:13, on 04/01/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\System32\svchost.exe
      C:\windows\system\hpsysdrv.exe
      C:\HP\KBD\KBD.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\PROGRA~1\MESSAG~1\StartMessager.exe
      C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      C:\WINDOWS\vsnpstd2.exe
      C:\Program Files\MessengerPlus! 3\MsgPlus.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
      C:\PROGRA~1\Wanadoo\ComComp.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
      C:\WINDOWS\system32\HPZipm12.exe
      C:\PROGRA~1\Wanadoo\Watch.exe
      C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
      C:\Program Files\QuickZip\QuickZip.exe
      C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
      O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [Network Host Service] rjeodcr32.exe
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
      O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
      O4 - HKLM\..\Run: [qfyqakn.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\Propriétaire\Local Settings\Application Data\qfyqakn.dll",xysmkvf
      O4 - HKLM\..\Run: [nxndl.exe] C:\WINDOWS\System32\nxndl.exe
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\RunServices: [Network Host Service] rjeodcr32.exe
      O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
      O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: hp psc 1000 series.lnk = ?
      O4 - Global Startup: hpoddt01.exe.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{6F06163A-F469-4226-9280-9BF5E8048862}: NameServer = 85.255.115.116,85.255.112.169
      O17 - HKLM\System\CCS\Services\Tcpip\..\{A99B3089-6CFF-4EC7-AF1F-5962CA510806}: NameServer = 85.255.115.116,85.255.112.169
      O17 - HKLM\System\CCS\Services\Tcpip\..\{CD745CD8-8584-404B-B62C-EA540F3CAF24}: NameServer = 80.10.246.1 80.10.246.132
      O17 - HKLM\System\CCS\Services\Tcpip\..\{F06A0F8D-5F3D-4F4C-AAC2-F7246AD3BA4B}: NameServer = 85.255.115.116,85.255.112.169
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Idhohjfo.dll (file missing)
      O21 - SSODL: zlAZRggnja - {ACC0085C-066A-A2F6-577F-93789FF60700} - C:\WINDOWS\System32\acat.dll (file missing)
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

      Et enfin


      Fixwareout
      Last edited 12/06/2006
      Post this report in the forums please
      ...
      Prerun check
      [HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "system"=""

      ...
      ...
      Reg Entries that were deleted
      ...

      Random Runs removed from HKLM
      ...
      ...

      PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

      »»»»» Searching by size/names...

      »»»»»
      Search five digit cs, dm kd and jb files.
      This WILL/CAN also list Legit Files, Submit them at Virustotal
      C:\WINDOWS\SYSTEM32\DMCPL.EXE 1 323 008 2003-03-04

      Other suspects.

      »»»»» Misc files.

      »»»»» Checking for older varients covered by the Rem3 tool.
      ...
      Postrun check
      [HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "system"=""

      ...


      Bonne soirée
      0
  3. Utilisateur anonyme
     
    Bonjour

    SDfix montre un rootkit.

    Télécharge ce fichier (par ejvindh)
    http://www.uploads.ejvindh.net/rustbfix.exe
    ...et sauvegarde-le sur ton Bureau.

    Double clique rustbfix.exe afin de lancer l'outil.
    Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
    Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
    Poste (Copie/Colle) le contenu de ces deux rapports
    0
    1. bart53 Messages postés 12 Statut Membre
       
      Bonsoir

      Voici les 2 rapports
      ************************* Rustock.b-fix -- By ejvindh *************************
      05/01/2007 18:51:59,53

      ******************* Pre-run Status of system *******************

      Rootkit driver PE386 is found. Starting the unload-procedure....

      Rustock.b-ADS attached to the System32-folder:
      :lzx32.sys 65568
      Total size: 65568 bytes.
      Attempting to remove ADS...
      system32: deleted 65568 bytes in 1 streams.

      Looking for Rustock.b-files in the System32-folder:
      No Rustock.b-files found in system32


      ******************* Post-run Status of system *******************

      Rustock.b-driver on the system: NONE!

      Rustock.b-ADS attached to the System32-folder:
      No System32-ADS found.

      Looking for Rustock.b-files in the System32-folder:
      No Rustock.b-files found in system32


      ******************************* End of Logfile ********************************


      et

      //////////////////////////////////////////
      Avenger Pre-Processor log
      //////////////////////////////////////////

      Error: could not create zip file.
      Error code: 80


      Error: could not create reboot file.
      Error code: 80


      Error: could not create reboot batch.
      Error code: 80


      //////////////////////////////////////////


      Logfile of The Avenger version 1, by Swandog46
      Running from registry key:
      \Registry\Machine\System\CurrentControlSet\Services\toamslvu

      *******************

      Script file located at: \??\C:\WINDOWS\System32\duqdxbmj.txt
      Script file opened successfully.

      Script file read successfully

      Backups directory opened successfully at C:\Avenger

      *******************

      Beginning to process script file:

      Driver PE386 unloaded successfully.
      Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

      Completed script processing.

      *******************

      Finished! Terminate.//////////////////////////////////////////


      Logfile of The Avenger version 1, by Swandog46
      Running from registry key:
      \Registry\Machine\System\CurrentControlSet\Services\vmhiqger

      *******************

      Script file located at: \??\C:\Documents and Settings\qegeakgx.txt
      Script file opened successfully.

      Script file read successfully

      Backups directory opened successfully at C:\Avenger

      *******************

      Beginning to process script file:



      Registry key \Registry\Machine\System\CurrentControlSet\Services\PE386 not found!
      Unload of driver PE386 failed!

      Could not process line:
      PE386
      Status: 0xc0000034

      Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

      Completed script processing.

      *******************

      Finished! Terminate.
      0
  4. Utilisateur anonyme
     
    Bonjour

    On continue le ménage.

    Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
    Les manipulations sont à faire sans interruption et dans l'ordre.
    Si tu ne comprends pas quelque chose, demande des explications avant de commencer


    1 Télécharge CCleaner.
    http://www.filehippo.com/download_ccleaner.html
    Installe le dans un répertoire dédié.

    2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
    Démarre l'ordinateur.
    Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
    En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

    3 Relance un scan HijackThis et coche les lignes ci-dessous :

    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [Network Host Service] rjeodcr32.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
    O4 - HKLM\..\Run: [qfyqakn.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\Propriétaire\Local Settings\Application Data\qfyqakn.dll",xysmkvf
    O4 - HKLM\..\Run: [nxndl.exe] C:\WINDOWS\System32\nxndl.exe
    O4 - HKLM\..\RunServices: [Network Host Service] rjeodcr32.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6F06163A-F469-4226-9280-9BF5E8048862}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A99B3089-6CFF-4EC7-AF1F-5962CA510806}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F06A0F8D-5F3D-4F4C-AAC2-F7246AD3BA4B}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
    O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Idhohjfo.dll (file missing)
    O21 - SSODL: zlAZRggnja - {ACC0085C-066A-A2F6-577F-93789FF60700} - C:\WINDOWS\System32\acat.dll (file missing)
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

    Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

    4 Assure toi d'avoir accés à tous les fichiers.
    Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
    Activer la case : Afficher les fichiers et dossiers cachés
    Désactiver la case : Masquer les extensions des fichiers dont le type est connu
    Désactiver la case : Masquer les fichiers protégés du système d'exploitation
    Puis Appliquer

    5 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
    Dans la liste des services, cherche et sélectionne
    "France Telecom Routing Table Service" / double clique sur la ligne
    / vérifie dans Chemin d'accès des fichiers exécutables qu'il
    s'agit bien de "C:\WINDOWS\System32\FTRTSVC.exe" / dans Type de démarrage,
    sélectionne Désactiver / valide la modification.

    6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\qfyqakn.dll
    C:\WINDOWS\System32\sysmon.exe
    C:\WINDOWS\System32\nxndl.exe
    rjeodcr32.exe
    --> Fais une recherche, probablement dans C:\WINDOWS\System32 ou C:\WINDOWS

    Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

    7 Lance le nettoyage avec CCleaner

    8 Redémarre normalement

    Poste un nouveau log HijackThis.
    0
    1. bart53 Messages postés 12 Statut Membre
       
      Bonjour,

      juste une petite question j'ai retrouvé deux fichiers nommés sysmon.ocx, je ne les ai pas enlevé !

      Voici le rapport
      Logfile of HijackThis v1.99.1
      Scan saved at 10:19:21, on 06/01/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\windows\system\hpsysdrv.exe
      C:\HP\KBD\KBD.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\PROGRA~1\MESSAG~1\StartMessager.exe
      C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      C:\WINDOWS\vsnpstd2.exe
      C:\Program Files\MessengerPlus! 3\MsgPlus.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
      C:\PROGRA~1\Wanadoo\ComComp.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
      C:\WINDOWS\system32\HPZipm12.exe
      C:\PROGRA~1\Wanadoo\Watch.exe
      C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
      C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/fr8.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
      O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
      O4 - Global Startup: hp psc 1000 series.lnk = ?
      O4 - Global Startup: hpoddt01.exe.lnk = ?
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{CD745CD8-8584-404B-B62C-EA540F3CAF24}: NameServer = 80.10.246.1 80.10.246.132
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

      Merci
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Bonjour

    Sysmon.ocx est lègitime.

    HijackThis est propre.

    Fais une analyse antivirus en ligne sur Kaspersky
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    Sélectionne le poste de travail comme analyse.
    Colle son rapport ici.
    0
    1. bart53 Messages postés 12 Statut Membre
       
      Bonsoir,

      Voici le rapport
      KASPERSKY ON-LINE SCANNER REPORT
      Saturday, January 06, 2007 9:50:47 PM
      Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
      Kaspersky On-line Scanner version : 5.0.83.0
      Dernière mise à jour de la base antivirus Kaspersky : 6/01/2007
      Enregistrements dans la base antivirus Kaspersky : 256450


      Paramètres d'analyse
      Analyser avec la base antivirus suivante étendue
      Analyser les archives vrai
      Analyser les bases de messagerie vrai

      Cible de l'analyse Poste de travail
      A:\
      C:\
      D:\
      E:\
      F:\

      Statistiques de l'analyse
      Total d'objets analysés 99507
      Nombre de virus trouvés 4
      Nombre d'objets infectés 8 / 0
      Nombre d'objets suspects 0
      Durée de l'analyse 02:32:32

      Nom de l'objet infecté Nom du virus Dernière action
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

      C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

      C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

      C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

      C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\Bureau\clean\pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré

      C:\Documents and Settings\Propriétaire\Cookies\index.dat L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\MSHist012007010620070107\index.dat L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFA75A.tmp L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\Mes documents\pascal.lechat\clean.zip/clean/pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré

      C:\Documents and Settings\Propriétaire\Mes documents\pascal.lechat\clean.zip ZIP: infecté - 1 ignoré

      C:\Documents and Settings\Propriétaire\ntuser.dat L'objet est verrouillé ignoré

      C:\Documents and Settings\Propriétaire\ntuser.dat.LOG L'objet est verrouillé ignoré

      C:\hp\bin\KillWind.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.p ignoré

      C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

      C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163639.dll Infecté : not-a-virus:AdWare.Win32.SearchAssistant.h ignoré

      C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163641.dll Infecté : not-a-virus:AdWare.Win32.SearchAssistant.h ignoré

      C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP526\A0163642.dll Infecté : not-a-virus:AdWare.Win32.SearchAssistant.h ignoré

      C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP537\A0177684.pif Infecté : Trojan-Downloader.BAT.Ftp.z ignoré

      C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP540\change.log L'objet est verrouillé ignoré

      C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

      C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

      C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

      C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

      C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

      C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

      C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

      C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

      C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

      Analyse terminée.
      0
  7. Utilisateur anonyme
     
    Re

    Ces fichiers sont de faux positifs, sauf pour le système de restauration.

    Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.

    Puis redémarrer l'ordinateur et faire l'opération inverse en décochant la case Désactiver la restauration systéme.

    As tu encore des dysfonctionnements ?
    0
    1. bart53 Messages postés 12 Statut Membre
       
      Bonjour,

      Tout est rentre dans l'ordre, par contre je trouve que mon PC est tres lent au demarrage cela est-il lié a mon probléme d'origine?

      Pascal
      0
  8. Utilisateur anonyme
     
    Contre la lenteur, fais ceci.

    Télécharge EasyCleaner
    https://www.telia.fi/palvelupaattynyt
    Installe le dans un répertoire dédié.
    Lance EasyCleaner.
    Utilises les fonctions Inutiles et Registre. Supprimes ce qu'il trouve. Ne pas toucher à la fonction doublons.

    Fais une défragmentation
    http://www.trucsastuces.com/Astuces/76.php
    0
    1. bart53 Messages postés 12 Statut Membre
       
      Merci beaucoupr Chercheurbis de ton aide et surtout du temps que tu as consacré à mon problème.
      Juste une dernière question: parmi les outils que j'ai utilisé pour résoudre le pb quels sont ceux que je dois conservé?

      Encore merci

      a+
      0
  9. Utilisateur anonyme
     
    Bonsoir

    Désolé de l'attente, mais je ne retrouvais plus mes posts.

    Supprime
    FixWareout
    Blacklight
    SDFix
    clean
    rustbfix
    0