Hijackthis, analyse d'un rapport

Résolu
Longjing Messages postés 15 Statut Membre -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour,

Je sollicite une aide de votre part, étant peu sûr de mes choix.

Je viens de récupérer un PC ayant séjourné un an dans un carton, soit disant parce qu'il ne marchait pas.

Il s'avère en fait qu'il est truffé de malveillants.
Ma mission consiste donc à essayer de le nettoyer.

Après avoir fait du travail en gros (spybots - maj -...), il me reste quelques saletés à éliminer ; voici un rapport Hijackthis, qui n'est sans doute pas clean (j'ai d'un oeil non expert repéré des choses étranges en 020 il me semble)

Merci de me donner la démarche à suivre ; des conseils avisés seront toujours plus sûrs que mes maniplulations hasardeuses.

Par avance merci.

Logfile of HijackThis v1.99.1
Scan saved at 14:55:56, on 20/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WUSB54G Wireless-G Adapter\WUSB54G.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe
C:\Documents and Settings\Gaëlle\Mes documents\Utilitaires\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awtsp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\awvtr.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
O4 - HKLM\..\Run: [Windows update 32] spvymmy.exe
O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [MS Task Manager 32] C:\WINDOWS\System32\mstskmgr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Windows update 32] spvymmy.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [MS Sys Security] mswin.pif
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif
O4 - Startup: Moniteur & Configuration.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://*.update.microsoft.com
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab
O20 - Winlogon Notify: awtsp - C:\WINDOWS\SYSTEM32\awtsp.dll
O20 - Winlogon Notify: awvtr - C:\WINDOWS\System32\awvtr.dll
O20 - Winlogon Notify: vtsqq - C:\WINDOWS\System32\vtsqq.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe (file missing)
O23 - Service: WUSB54GSVC - Unknown owner - C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe" "WUSB54G.exe (file missing)
Configuration: Windows XP
Internet Explorer 7.0

16 réponses

  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    * Télécharge VundoFix.exe (par Atribune) sur ton Bureau

    http://www.atribune.org/ccount/click.php?id=4

    * Double-clique VundoFix.exe afin de le lancer

    * Clique sur le bouton Scan for Vundo

    * Lorsque le scan est complété, clique sur le bouton Remove Vundo

    * Une invite te demandera si tu veux supprimer les fichiers, clique YES

    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    0
    1. Longjing Messages postés 15 Statut Membre
       
      Bonjour,

      Merci pour cette réponse rapide et détaillée ; voici les deux rapports :

      Vundofix :

      VundoFix V6.3.8

      Checking Java version...

      Java version is 1.5.0.2

      Scan started at 15:57:37 20/02/2007

      Listing files found while scanning....

      C:\WINDOWS\System32\awtsp.dll
      C:\WINDOWS\System32\awvtr.dll
      C:\WINDOWS\System32\rtvwa.bak2
      C:\WINDOWS\System32\rtvwa.ini

      Beginning removal...

      Attempting to delete C:\WINDOWS\System32\awtsp.dll
      C:\WINDOWS\System32\awtsp.dll Could not be deleted.

      Attempting to delete C:\WINDOWS\System32\awvtr.dll
      C:\WINDOWS\System32\awvtr.dll Could not be deleted.

      Attempting to delete C:\WINDOWS\System32\rtvwa.bak2
      C:\WINDOWS\System32\rtvwa.bak2 Has been deleted!

      Attempting to delete C:\WINDOWS\System32\rtvwa.ini
      C:\WINDOWS\System32\rtvwa.ini Has been deleted!

      Performing Repairs to the registry.
      Done!

      VundoFix V6.3.8

      Checking Java version...

      Java version is 1.5.0.2

      Scan started at 16:11:57 20/02/2007

      Listing files found while scanning....

      C:\WINDOWS\System32\qqstv.ini
      C:\WINDOWS\System32\vtsqq.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\System32\qqstv.ini
      C:\WINDOWS\System32\qqstv.ini Has been deleted!

      Attempting to delete C:\WINDOWS\System32\vtsqq.dll
      C:\WINDOWS\System32\vtsqq.dll Has been deleted!

      Performing Repairs to the registry.
      Done!



      Hijackthis :
      Logfile of HijackThis v1.99.1
      Scan saved at 16:24:11, on 20/02/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16414)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\WUSB54G Wireless-G Adapter\WUSB54G.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\RunDll32.exe
      C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
      C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Documents and Settings\Gaëlle\Mes documents\Utilitaires\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\vtsqq.dll (file missing)
      O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe
      O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Shared Files\remoterm.exe
      O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
      O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
      O4 - HKLM\..\Run: [Windows update 32] spvymmy.exe
      O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe
      O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
      O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
      O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      O4 - HKLM\..\Run: [MS Task Manager 32] C:\WINDOWS\System32\mstskmgr.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\RunServices: [Windows update 32] spvymmy.exe
      O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe
      O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
      O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe
      O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
      O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
      O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
      O4 - HKCU\..\Run: [MS Sys Security] mswin.pif
      O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
      O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
      O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif
      O4 - Startup: Moniteur & Configuration.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O11 - Options group: [INTERNATIONAL] International*
      O15 - Trusted Zone: http://*.update.microsoft.com
      O15 - Trusted Zone: http://download.windowsupdate.com
      O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
      O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe (file missing)
      O23 - Service: WUSB54GSVC - Unknown owner - C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe" "WUSB54G.exe (file missing)

      Merci encore pour ton aide
      0
  2. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    on continue

    autant te dire qu'il y en a encore

    * télécharge AVG Anti-Spyware (ewido)

    https://www.avg.com/en-ww/free-antivirus-download

    * tu l'installes

    * lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    puis

    Lance AVG Anti-Spyware

    Clique sur le bouton Analyse (de la barre d'outils)

    Puis sur l'onglet Paramètres,
    sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

    A la fin du scan, choisis l'option 3

    "Appliquer toutes les actions " en bas.

    Clique sur "Enregistrer le rapport".

    Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    Poste le.

    0
    1. Longjing Messages postés 15 Statut Membre
       
      Merci encore de ton aide précieuse.

      Effectivement il y a du monde chez AVG :



      C:\WINDOWS\system32\70tovmto.ini -> Adware.Sahat : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\u6f6uftuc.ini -> Adware.Sahat : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\umqltg4cl.ini -> Adware.Sahat : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071087.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
      C:\VundoFix Backups\vtsqq.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\awvtr.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
      HKLM\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327} -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8DBF02DA-4360-4A7E-BEA1-347B87816327} -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
      HKU\S-1-5-21-1338741056-1298975827-2997056987-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8DBF02DA-4360-4A7E-BEA1-347B87816327} -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MediaGatewayX.dll -> Adware.WinAD : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Z8T8883X\pic[1].jpg -> Adware.WinAD : Nettoyé et sauvegardé (mise en quarantaine).
      C:\wser.exe -> Adware.WinAD : Nettoyé et sauvegardé (mise en quarantaine).
      HKLM\SOFTWARE\Classes\MediaPass.Installer -> Adware.WinAd : Nettoyé et sauvegardé (mise en quarantaine).
      HKLM\SOFTWARE\Classes\MediaPass.Installer\CLSID -> Adware.WinAd : Nettoyé et sauvegardé (mise en quarantaine).
      HKLM\SOFTWARE\Classes\MediaPass.Installer\CurVer -> Adware.WinAd : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\unstall.exe -> Adware.Zango : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP99\A0065782.exe -> Backdoor.Codbot.ag : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP99\A0065779.exe -> Backdoor.IRCBot.hg : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\logon.exe -> Backdoor.PoeBot.b : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\spoolsvc.exe -> Backdoor.PoeBot.b : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\vrsprtc.exe -> Backdoor.PoeBot.b : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP99\A0065781.exe -> Backdoor.Rbot : Nettoyé et sauvegardé (mise en quarantaine).
      C:\aedfsg32q4.exe/Intel.exe -> Backdoor.Rbot.adf : Nettoyé et sauvegardé (mise en quarantaine).
      C:\gmail.exe -> Backdoor.Rbot.mg : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\Edit.exe -> Backdoor.SdBot.aad : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP99\A0065780.exe -> Backdoor.SdBot.xd : Nettoyé et sauvegardé (mise en quarantaine).
      HKLM\SOFTWARE\Classes\CLSID\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441} -> Downloader.ConHook.l : Nettoyé et sauvegardé (mise en quarantaine).
      HKU\S-1-5-21-1338741056-1298975827-2997056987-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441} -> Downloader.ConHook.l : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\awtsp.dll -> Downloader.ConHook.m : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ISTactivex.dll -> Downloader.IstBar : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ysbactivex.dll -> Downloader.IstBar : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\stubinstaller6282.exe -> Downloader.Small.asf : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Program Files\ZDF\mmxrx2.exe -> Downloader.VB.jl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\buz.exe/mmxrx2.exe -> Downloader.VB.jl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\ws.exe/mmxrx2.exe -> Downloader.VB.jl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\ssk3b5doublemedia.exe -> Dropper.Small.qn : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP36\A0064332.exe -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP42\A0064997.exe -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
      C:\mstskmgr.exe -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\Cookies\gaëlle@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
      C:\WINDOWS\Downloaded Program Files\v3.dll -> Trojan.EliteBar.a : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\avikiller.cmd -> Trojan.KillAV.bj : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\2.cmd -> Trojan.KillAV.bk : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\%SYSROOT%\kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\%SYSROOT%\kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\354fx.exe/ransy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\354fx.exe/rany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\e8a79.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\e8a79.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\e8ad79.exe/ransy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\e8ad79.exe/rany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\sp3.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\sp3.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\sw.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\sw.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\up.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\up.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\us.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Gaëlle\us.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\ra.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\ran.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\ransy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\rany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\oi.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\oi.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\poi.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\poi.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Program Files\ZDF\rawr.exe -> Trojan.LowZones.g : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HYBELYX6\ded1r[1].exe -> Trojan.LowZones.k : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Z8T8883X\ak47[1].exe -> Trojan.LowZones.k : Nettoyé et sauvegardé (mise en quarantaine).
      C:\spupdate27.exe -> Trojan.LowZones.k : Nettoyé et sauvegardé (mise en quarantaine).
      C:\symnger64up.exe -> Trojan.LowZones.k : Nettoyé et sauvegardé (mise en quarantaine).
      C:\syys64.exe -> Trojan.LowZones.k : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\1.cmd -> Trojan.Starter.h : Nettoyé et sauvegardé (mise en quarantaine).
      C:\WINDOWS\y.bat -> Trojan.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).
      C:\gbh.exe/y.bat -> Trojan.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).
      C:\trngh.exe/y.bat -> Trojan.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).


      Fin du rapport
      0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    il a fait du bon ménage, maintenant peux tu reposter un nouveau rapport Hijackthis stp

    0
    1. Longjing Messages postés 15 Statut Membre
       
      Re

      Voici le dernier en date :

      Logfile of HijackThis v1.99.1
      Scan saved at 22:17:11, on 20/02/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16414)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe
      C:\Program Files\WUSB54G Wireless-G Adapter\WUSB54G.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\RunDll32.exe
      C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
      C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Documents and Settings\Gaëlle\Mes documents\Utilitaires\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe
      O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Shared Files\remoterm.exe
      O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
      O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
      O4 - HKLM\..\Run: [Windows update 32] spvymmy.exe
      O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe
      O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
      O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
      O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      O4 - HKLM\..\Run: [MS Task Manager 32] C:\WINDOWS\System32\mstskmgr.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\RunServices: [Windows update 32] spvymmy.exe
      O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe
      O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
      O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe
      O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
      O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
      O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
      O4 - HKCU\..\Run: [MS Sys Security] mswin.pif
      O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
      O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
      O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif
      O4 - Startup: Moniteur & Configuration.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O11 - Options group: [INTERNATIONAL] International*
      O15 - Trusted Zone: http://*.update.microsoft.com
      O15 - Trusted Zone: http://download.windowsupdate.com
      O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
      O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe (file missing)
      O23 - Service: WUSB54GSVC - Unknown owner - C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe" "WUSB54G.exe (file missing)
      0
  4. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    on continue
    imprime car il faudra faire la manip en mode sans échec.

    * Télécharge Pocket KillBox sur ton bureau.
    http://www.downloads.subratam.org/KillBox.exe
    puis

    Démarrer "Exécuter…" puis Tape "services.msc" et valide par OK
    la fenêtre des Services s'ouvre => vérifier dans la partie inférieure que l'onglet "Etendu" est bien sélectionné, sinon faites le.

    spool
    et le chemin
    C:\WINDOWS\spoollv.exe

    - Dans la colonne "Nom", DOUBLE CLIQUE sur le service noté en GRAS ci dessus, pour faire apparaître "Propriétés".
    - Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement souligné.
    - Puis clique sur Arrêter
    - Dans le menu déroulant "Type de démarrage", sélectionne "Désactivé".
    - valide la modification par OK
    - Ferme la fenêtre des Services.

    * redémarre en mode sans échec
    http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

    lance hijackthis et coche

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
    O4 - HKLM\..\Run: [Windows update 32] spvymmy.exe
    O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe
    O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
    O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
    O4 - HKLM\..\Run: [MS Task Manager 32] C:\WINDOWS\System32\mstskmgr.exe
    O4 - HKLM\..\RunServices: [Windows update 32] spvymmy.exe
    O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe
    O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
    O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe
    O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
    O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
    O4 - HKCU\..\Run: [MS Sys Security] mswin.pif
    O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
    O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
    O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
    O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab

    clique sur fix checked

    * Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
    * copie d'un trait les lignes de la citation suivante :

    C:\WINDOWS\System32\explorer.exe 
    C:\Program Files\Media Pass
    C:\windows\system32\spvymmy.exe
    C:\windows\system32\compq32.exe
    C:\windows\system32\MSAOL32.exe 
    C:\windows\system32\cscrs.exe
    C:\WINDOWS\System32\mstskmgr.exe 
    C:\windows\system32\mswin.pif
    C:\windows\system32\msnmsgr.exe 


    Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer).

    Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
    - coche la case "Unregister dll before deleting" (si tu en as la possibilité)
    - clique sur le bouton "All files"
    - clique ensuite sur la croix rouge

    Au deux messages qui vont s'afficher, tu réponds par "YES"
    L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

    *relance AVG pour un scan complet et poste le rapport
    reposte un nouveau rapport Hijackthis

    0
    1. Longjing Messages postés 15 Statut Membre
       
      Bonjour,

      Merci pour ces indications.

      Toutefois j'ai un problème avec Killbox.

      J'ai installé l'exécutable sur le bureau.
      J'ai préparé les lignes à effacer dans un fichier bloc notes.

      Je copie tout
      Past from clipboard ; il ne se passe rien.

      Killbox m'indique 0 files et 0 folder

      Je suis allé voir dans les options de killbox (remove duplicates ; removes directories - auto parse - 8.3 names - shotdown) pour essayer quelque chose ; mais il ne prend pas le nom exact du ficier, juste le directory (et je ne tiens pas à supprimer system 32 en entier ;-)

      J'ai essayé de Browse les fichiers indiqués (en ayant pris soin d'afficher les dossiers cachés et extension dans l'explorateur) ; mais je ne les trouve pas


      Pourrais-tu stp me dire où j'ai merdouillé ?

      Par avance merci.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    je ne sais pas trop où t'as merdouillé, mais je te rassure, je ne pense pas que tu supprimes tout le system32aussi facilement
    regarde ici en image, pour t'aider
    https://forum.pcastuces.com/default.asp
    à la lettre I ) Utiser Killbox

    tu me diras ce qu'il en est
    0
  7. Longjing Messages postés 15 Statut Membre
     
    Re,

    Merci pour cette indication

    C'est effectivement ce que j'essaie de faire ; sauf que, à la dernière étape (cliquer sur la croix rouge) une fenêtre s'ouvre et me dit qu'aucun file n'est sélectionné.

    Effectivement il n'y a rien dans le menu déroulant....
    0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bizarre,

    on peut faire autrement, mais plus long tant pis
    tu feras attention à ne pas en oublier en route

    1- Double-clic sur KillBox.exe
    2- Selectionne "Delete on Reboot"
    3 - Dans "Full Path of File to Delete"
    copie et colle:

    C:\WINDOWS\System32\explorer.exe


    5- clic sur le rond rouge
    6- une fenetre va apparaitre pour confirmation clic sur OUI
    7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI

    tu recommences pour toutes celles ci

    C:\Program Files\Media Pass
    C:\windows\system32\spvymmy.exe
    C:\windows\system32\compq32.exe
    C:\windows\system32\MSAOL32.exe
    C:\windows\system32\cscrs.exe
    C:\WINDOWS\System32\mstskmgr.exe
    C:\windows\system32\mswin.pif
    C:\windows\system32\msnmsgr.exe
    0
    1. Longjing Messages postés 15 Statut Membre
       
      Mille mercis je vais essayer ; un par un ...

      Néanmoins je crois savoir où j'ai fait le boulet ; en mode sans échec je n'avais sans doute pas tous les droits administrateurs car je m'étais connecté en session particulière.

      Je viens de me rendre compte que le spool était déja déactivé dans les services ; je n'ai pas eu besoin de l'arrêter

      Et je vais donc reprendre la manip depuis le début.

      Le problème qui se pose maintenant, c'est que le rapport Hijackthis n'est plus le même ; pourrais tu stp me dire ce qu'il faut fixer à parti de celui ci ?

      (merci beaucoup de ta patience)

      Logfile of HijackThis v1.99.1
      Scan saved at 16:29:36, on 21/02/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16414)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe
      C:\Program Files\WUSB54G Wireless-G Adapter\WUSB54G.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\RunDll32.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
      C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Gaëlle\Mes documents\Utilitaires\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe
      O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Shared Files\remoterm.exe
      O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
      O4 - Startup: Moniteur & Configuration.lnk = ?
      O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O11 - Options group: [INTERNATIONAL] International*
      O15 - Trusted Zone: http://*.update.microsoft.com
      O15 - Trusted Zone: http://download.windowsupdate.com
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: WUSB54GSVC - Unknown owner - C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe" "WUSB54G.exe (file missing)
      0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    oui je reviens dans qq instants te le dire

    0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Juste ceci :

    O23 - Service: WUSB54GSVC - Unknown owner - C:\Program Files\WUSB54G Wireless-G Adapter\WLService.exe" "WUSB54G.exe (file missing)

    0
    1. Longjing Messages postés 15 Statut Membre
       
      Re-

      Merci.

      J'effectue la manip 9 fois ; je prends les fichiers un pas un dans killbox.

      Néanmoins au moment où il va redémarrer , un message d'erreur apparaît.

      PendingFilRenameOperations registry Data has been Removed by External Process.

      Je redémarre de toute façon ; mais bon...comprends pas
      0
  11. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    tu l'as fait en mode sans échec ? ou en normal ?
    0
    1. Longjing Messages postés 15 Statut Membre
       
      Re-

      En sans échec

      C'est inquiétant ?
      0
  12. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    on y a rien d'inquiétant à cela, simplement peut être que j'aurai du te le faire faire en mode normal, tu n'aurais pas eu ce message

    0
    1. Longjing Messages postés 15 Statut Membre
       
      Bien merci.

      Je fais un AVG et/ou Hijackthis pour voir si tout va bien et je poste le rapport ?

      (A l'heure actuelle Avast mis à jour ne détecte rien )
      0
  13. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    oui
    et je regarderais tout à l'heure, je dois m'absenter un petit moment
    0
  14. Longjing Messages postés 15 Statut Membre
     
    Bonsoir

    Merci de me dire les nouvelles manipulations à effectuer.

    AVG détecte plein de choses dans le volume de restauration :

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 17:52:04 21/02/2007

    + Résultat de l'analyse:

    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071147.ini -> Adware.Sahat : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071148.ini -> Adware.Sahat : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071149.ini -> Adware.Sahat : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071145.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071146.exe -> Adware.WinAD : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071150.exe -> Adware.Zango : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071142.exe -> Backdoor.PoeBot.b : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071143.exe -> Backdoor.PoeBot.b : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071144.exe -> Backdoor.PoeBot.b : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071105.exe/Intel.exe -> Backdoor.Rbot.adf : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071129.exe -> Backdoor.Rbot.mg : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071138.exe -> Backdoor.SdBot.aad : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071141.dll -> Downloader.ConHook.m : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071140.exe -> Downloader.Small.asf : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071106.exe -> Downloader.VB.jl : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071107.exe/mmxrx2.exe -> Downloader.VB.jl : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071108.exe/mmxrx2.exe -> Downloader.VB.jl : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071139.exe -> Dropper.Small.qn : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071130.exe -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071161.exe -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\Gaëlle\Cookies\gaëlle@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
    C:\Documents and Settings\Gaëlle\Cookies\gaëlle@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\Gaëlle\Cookies\gaëlle@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
    C:\Documents and Settings\Gaëlle\Cookies\gaëlle@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071137.cmd -> Trojan.KillAV.bj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071136.cmd -> Trojan.KillAV.bk : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071109.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071110.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071111.exe/ransy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071111.exe/rany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071112.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071112.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071113.exe/ransy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071113.exe/rany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071114.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071114.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071115.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071115.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071116.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071116.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071117.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071117.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071118.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071119.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071120.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071121.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071122.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071123.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071124.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071124.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071125.exe/kansy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071125.exe/kany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071131.exe -> Trojan.LowZones.g : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071132.exe -> Trojan.LowZones.k : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071133.exe -> Trojan.LowZones.k : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071134.exe -> Trojan.LowZones.k : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071135.cmd -> Trojan.Starter.h : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071126.bat -> Trojan.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071127.exe/y.bat -> Trojan.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{6EBDC434-6739-4313-B949-40613E676E09}\RP154\A0071128.exe/y.bat -> Trojan.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).

    puis HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 17:53:34, on 21/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
    C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Gaëlle\Mes documents\Utilitaires\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Shared Files\remoterm.exe
    O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
    O4 - Startup: Moniteur & Configuration.lnk = ?
    O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O15 - Trusted Zone: http://*.update.microsoft.com
    O15 - Trusted Zone: http://download.windowsupdate.com
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Merci d'avance.
    0
  15. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    désolée pour le retard, tout a l'air d'être rentré dans l'ordre.

    Si tu n'as plus de problème et seulement si tu peux :

    démarrer-----------panneau de configuration------------système----------

    onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------

    redémarre l'ordinateur

    puis ré active la.

    Si tu as encore des problèmes, reviens le dire (je serais absente demain)
    0
  16. Longjing Messages postés 15 Statut Membre
     
    Bonjour,

    Tu n'as pas à être désolée ! Je te suis très reconnaissant d'avoir passé du temps à résoudre mes problèmes. Merci beaucoup.

    J'ai désactivé la restauration puis redémarré.

    Tout semble être en ordre (Avst, Kasperky, Bitdefender, a²...)

    Merci pour tout.
    0
  17. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonsoir,

    si tout est rentré dans l'ordre, c'est parfait. J'en suis ravie.
    Pense à cliquer sur RESOLU stp en haut de ton premier post.

    Bon surf

    0