Infecté par Trojan Zapchast.CAFermé

Question

Bonjour à tous,

Mon PC est infecté par Trojan Zapchast.CA depuis environ 3 jours. J'ai essayé plusieurs tentatives d'erradication (notamment en consultant ce forum) avant de me tourner directement vers vous.
J'utilise BitDefender Plus V10 qui a déjà envoyé en quarantaine une partie des Trojan mais le mal perdure.
Les analyse du système ne détectent pourtant plus rien avec Bitdefender. J'ai essayé l'analyse en ligne de McAfee qui localise elle 3 fichiers infectés :
Nom du fichier // Nom de la menace
C:\WINDOWS\system\bpmtcs32.dll	// Proxy-Agent.aj
C:\WINDOWS\system32\hfskkaaa.exe	//Generic BackDoor.n
C:\WINDOWS\system32\qeoaaaaa.exe	//Proxy-Agent.aj

J'ai tenté de m'en débarasser avec CCleaner et SDFix mais rien n'y fait.
J'attend donc votre aide avec impatience !!!!!

TropJean · Answer

Salut ,

Voici ce que tu vas faire…

Pour commencer, télécharge HijackThis. C’est un Outil de diagnostic et de réparation. Voici le lien…
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dé zippe le dans un dossier prévu à cet effet, sur ton bureau.

Par exemple C:\hijackthis **Enregistre le bien dans C:\>** 

Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le - Puis clique sur "Do a system scan and save logfile" 
Enregistre le rapport sur ton bureau : En haut à gauche du rapport, tu as l’onglet fichier – Clic dessus et fait - **Enregistrer sous** - Et dans la nouvelle fenêtre tu choisis l’emplacement… **Bureau** (C’est plus facile pour le retrouver ;o) - Clic OK

Après, fais un copier/coller du rapport en entier sur le forum.  

Bon courage!

TropJean ;o)

Grodoock · Answer

Ok, c'est cool. 
Parce que là, j'en vois pas trop la fin ... J'ai re-essayé un coup de SDFix mais toujours rien.
Ce qui est certain, c'est qu'une part du problème vient de DLL infectées dans C:\Windows\System32 . Et elles se reproduisent, sinon ca serait pas marrant ...
Allez, je garde espoir ...

TropJean · Answer

Re Salut, Pour commencer voici les mises à jour importantes à faire… Qlq’un sur ce forum ma dit un jour que si mes programmes n’était pas à jour, je donnais l’occasion à n’importe qui d’avoir accès à mon ordis. Les mises à jour sont fait en fonction des failles qui ce retrouve dans les programmes antérieurs! Windows Internet Explorer... Tu as la version 06 et Microsoft est rendu à la version 07 Voici le lien… https://support.microsoft.com/fr-fr/allproducts Dans la même lignée… Je te suggère fortement Firefox si tu ne l’as pas encore. La barre de recherche Google y est incluse! Pas de pop up ou très très peu. Beaucoup plus stable. Le seul hic… il n’est pas compatible avec tous les sites web! Comme ceux des scans on-line. Si ça t’intéresse voici le lien… http://www.mozilla-europe.org/fr/products/firefox/ Ensuite tu as Sun Java 10. Ils sont rendus au 11ièm. Voici le lien… Java : https://www.java.com/fr/download/manual.jsp Garde cette page dans tes favoris. Une fois l'installation terminée, ferme Firefox ou Int. Expl. et r'ouvre le - retourne sur la même page et fais le test pour savoir si l'installation c'est bien déroulé! Tu as Adobe Acrobat ActiveX version 6 ils ont la version 9 de prêt. C’est sur 01net.com, un site que tu devrais mettre dans tes marques pages/favoris! C’est un bon site pour des logiciels/programmes sûr et de la bonne information sur les produits. Voici le lien… https://www.01net.com/telecharger/windows/Multimedia/cao_et_dao/fiches/20403.html Programme à installer… CCleaner… **Ici c’est la version avec la mise à jour** https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html Maintenant, AVG Anti Spyware… **Une mise à jour ce doit d'être fait ici!** http://www.avgfrance.com/doc/31/fr/crp/0?prd=asw Maintenant, **SUIT** cette directive **à la lettre** 1- Autorise l'affichage des fichiers et dossiers cachés, fais comme suit… Poste de travail menu Outils - Option des dossiers onglet Affichage - Cocher Afficher les Fichiers et dossiers cachés - Décocher Masquer les fichiers protégés du système d'exploitation (recommandé) - Décocher Masquer les extensions dont le type est connu - Clique sur **Appliquer et Ok** pour valider les changements. Enregistre ces ligne qlq part dans tes dossiers, il va falloir faire le contraire après les scans. Pour remettre le tout comme au début! 2- Désactiver la restauration du système Voici un lien pour que tu puisses voir exactement comment faire! https://blog.sosordi.net/category/astuces 3- Une fois les # 1 et 2 faits, l’installation des prog. et les mises à jour et faits, redémarre ton PC en **mode sans échec** Tu n’as qu’à tapoter F8 jusqu’attend de voir un écran noir avec une petite ligne blanche dans le haut gauche de l’écran! Ça va prendre près d’une minute (tout dépend du système que tu as) avant de voir les choix, prend le premier en haut… mode sans échec. **Cette dernière opération tu devras la faire après chaque scan car il faut redémarrer ton PC après chaque scan!** 1er scan avec CCleaner, Le fonctionnement de CCleaner… Une fois le prog. ouvert! Clic sur le 1er bouton (Nettoyage) sur ta gauche, ensuite analyse sur la droite en bas - Une fois terminer tu clic sur **Lancer le nettoyage** - Ensuite tu clic sur le bouton **erreurs** sur ta gauche et sur ta droite en bas sur celui **chercher des erreurs** - Une fois terminer clic sur le bouton en bas à droite **réparer les erreurs sélectionnées** - ***Refais cette dernière opération tant qu’il trouve de quoi. Cela peu prendre 2, 3 coups…*** - Une fenêtre va s’ouvrir, clic sur **oui** (C’est pour un backup.) Une autre fenêtre va s’ouvrir, clic sur le bouton **Corriger toutes les erreurs....** Une autre fenêtre va s’ouvrir et tu clic sur ok.- Ensuite tu clic sur fermer - Voilà c’est fait! N’oublis pas de redémarre ton PC, en mode sans échec c’est **très Important** 2ièm scan avec Spybot S&D… Tu sais comment il marche je crois! Une fois fait, n’oublis pas de redémarre ton PC, en mode sans échec c’est **très Important** 3ièm scan avec AVG Anti Spyware Le fonctionnement d’AVG AS… **Mise à jour Importante** Si ce n’est pas déjà fait! Dans l’onglet , le bouclier résident et les mises à jour auto, doivent être sur **Actif** - Dans l’onglet , toutes les cases doivent **être coché** – Dans l’onglet , un onglet, y est, dans celui-ci tu as un premier paragraphe intitulé… . En cliquant droite avec ta souris, tu peux sélectionner l’action que tu veux entreprendre, choisis **Supprimer** - Maintenant, tjrs dans l’onglet , un onglet (Le premier) y est, clic dessus et dans cet onglet tu clic sur la première ligne qui est **Analyse complète du système** - Une fois terminé, **enregistre le rapport sous** - Sur ton bureau, ce sera plus facile d’accès pour un copie/coller du log ici. Une fois fait, n’oublis pas de redémarre ton PC, en mode sans échec c’est **très Important** 4ièm scan avec Bit Defender... Une fois terminé enregistre le rapport aussi sur ton bureau pour le poster plus tard ici, avec les autres! Une fois fait, n’oublis pas de redémarre ton PC, en mode sans échec c’est **très Important** 5ièm scan avec HijackThis mais cette fois ci pour supprimer certaines ligne. **Si elle si trouvent encore après tout ces scans!** Une fois Hijack ouvert tu clic sur ** Do a scan only** - Une fois le scan terminé, coche ces lignes… **Attention lis bien les lignes qui suivent avant de les supprimer** (Si elles y sont encore) J’ai besoin de réponses ici… Question1… Au démarrage de Windows, quand tu vois la page de ton bureau, est ce qu’il y a un petit sablier à côté de ta flèche? Et est ce qu’il (le sablier) disparaît et reviens souvent, disons régulièrement pendant environs les 2, 3 première minutes du démarrage, si ce n’est pas plus? Si oui, c’est normal, tu as énormément de programmes qui démarrent en même temps que Windows, ce qui ralenti ton PC considérablement! Je peux t’aider pour ça si tu veux, la majorités ne sont pas nécessaires au démarrage de ton PC. Question2… Tu as Bit Defender comme Anti Virus, c’est ça? Question3… As-tu aussi ou eu avant Bit Defender, McAfee comme anti virus? On y reviendra plus tard pour lui! Question4… Avec Bit Defender fais tu des scans on-line aussi? Si oui, tu auras 3 lignes à supprimer… Si non, **touche s’y pas!** O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab Autres lignes à supprimer… **Tjrs si elles y sont** O2 - BHO: (no name) - {8F4E369C-EF00-409B-9C43-12C4BE9248B8} - C:\WINDOWS\system32\bhbcbhb.dll Cette ligne ne me dis rien qui vaille… Même Google ne reconnaît pas ce prog! O3 - Toolbar: HLIeBar - {0A120D41-244B-11D5-8122-005004F6D77D} - C:\Program Files\HumanLinks2\bin\HLIeBar.dll Une toolbar que tu utilises avec Explorer? Je suggère tjrs Google, c’est la plus sécuritaire et bloc vraiment les pop-ups! O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: vugaselr - C:\WINDOWS\SYSTEM32\bhbcbhb.dll Comme la ligne 02, Google ne la reconnaît tjrs pas! Une fois fait, n’oublis pas de redémarre ton PC, cette fois ci en mode normal. Refais un autre scan avec Hijack mais comme dans le post <1> et reposte tout tes logs/rapports (AVG-AS, Bit Defender et HijackThis) ici. Nous allons voir ce qui a fonctionné ou pas et voir ce qui reste comme virus ou spyware! Bon courage Grodook! & continue de garder espoir on va y arriver ensemble! lolll J’attends de tes nouvelles TropJean ;o)

Grodoock · Answer

Bon, en fait, après avoir fait tourner un peu mon ordi, je m'aperçois qu'il n'y a pas vraiment d'amélioration a part la disparition des messages d'erreur.
Ca rame à fond les manettes et le trojan est régulièrement détecté (comme avant) par BitDefender sans être entièrement supprimé.
Je pense qu'il faut que je reprenne toutes les étapes à 0 ...

TropJean · Answer

Re, Ok laisse moi le temps de lire le tout comme il le faut et je te reviens… Désolé du temps de réponse je travaillais hier! Mais pas aujourd’hui ;o) Pour Firefox, ce n’est pas une urgence c’est une suggestion! OUPS…! Mon erreur ici! Impossible de faire un scan en ligne en mode sans échec… & le bouclier résident d’AVG-AS as besoin du net pour être fonctionnel… Ce genre d’info n’est pas à négliger, je suis vrmt désolé! :o( Ok, on y reviendra à la fin… Je te dirais ql ligne supprimer… C’est correct mais les rapports étais pareil ou bien l’un trouvait ce que l’autre ne trouvais pas? C’est important de le savoir, on ne sait jamais! Pas juste celle-ci… La 020 - … Je vais voir comment on peux y arriver. Ça nous confirme que c’est belle et bien un virus et que tu n’as pas de spyware en plus…! C’est quand même une bonne nouvelle en soit! Question… C:\Documents and Settings\EtudiantESCT\Bureau\hijackthis\HijackThis.exe Est ce un prêt d’une institution d’enseignement ton Laptop? Pure curiosité…loll Pour accélérer ton ordi… Ouvre le prog. HJT et clic sur - À la f. d. scan, coche les lignes suivante… Ce que tu coches ici ne les supprime pas, tu les empêches de démarrer en même temps que Windows! C’est tout, ils vont tous démarrer quand tu vas en avoir de besoin. O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\ucstartup.exe O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: MS_update_0612_KB74062.exe Pour le reste, après les virus ok? Comme je ne suis pas habitué avec les laptops… J’aime mieux prendre mon temps pour analyser ce qui peut et ne peut pas démarrer en même temps que Windows… Je ne voudrais pas bousiller ton ordi! Merci de ta compréhension ;o) Maintenant ce que tu vas Supprimer… O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4997/mcfscan.cab O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe C’est tout pour l’instant, on sait que HJT ne viens pas à bout de 2 lignes. Je vais sûrement revenir avec un autre programme… En attendant, merci de suivre encore ces étapes ;o) Moi de mon côté j’analyse tes logs. -->Te souviens tu des étapes 1 et 2? Une fois tout les scans terminer, les as-tu remis comme ils étaient? Si oui, malheureusement il faut refaire les étapes 1 & 2 avant de **redémarrer ton ordi en mode normal** car tu vas faire un 1 er scan avec BitD On line… À partir d’ici, si tu ne te souviens plus des étapes à suivre regarde le poste… infecte par trojan zapchast ca#5 Cette fois ci **tu redémarres en mode sans échec pour un scan de BitD Sys. – Une fois terminer tu enregistre le rapport** ET **tu refais** la même chose avec HJT. Poste le tout et nos messages devraient se croiser… Bonne journée à toi! À:\+ TropJean ;o)

Stephanie · Answer

Bonjour j'ai le meme probleme est ce que quelqu un peu m aider


Logfile of HijackThis v1.99.1
Scan saved at 00:32:43, on 2007-04-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Corel\Corel Photo Album 6\MediaDetect.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\MUSICM~1\MUSICM~3\MMDiag.exe
C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Baliciel\Bali TOOLS 2000\BaliTOOLS.exe
C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mim.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\Exif Launcher\QuickDCF.exe
C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1	mproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\jeanty maxime\My Documents\My eBooks\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/en-ca?c=ca&l=en&s=gen&redirect=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/en-ca?c=ca&l=en&s=gen&redirect=1
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/en-ca?c=ca&l=en&s=gen&redirect=1
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~3\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Program Files\Corel\Corel Photo Album 6\MediaDetect.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Bali TOOLS] "C:\Program Files\Baliciel\Bali TOOLS 2000\BaliTOOLS.exe"
O4 - HKCU\..\Run: [E06FXLRD_12869234] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MétéoIMédia] C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye
O4 - Global Startup: AOL 9.0 Tray Icon.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Companion.lnk = C:\Program Files\AOL Companion\companion.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\Exif Launcher\QuickDCF.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\jeanty maxime\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files
ewdotnet
ewdotnet3_88.dll' missing
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-US/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.clubechat.net/controls/MsnChat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Protection Against Spyware  (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1	mproxy.exe

TropJean · Answer

Re, Il me semble que ton BitD. perso est mal paramétré… Regarde bien attentivement ce qui suit… Ou il y a une  ça ce doit d’être cocher! Important pour un meilleur scan, détection, analyse et suppression! Options d'analyse (Le scan est plus long mais beaucoup plus complet<1souligne>!) Détection [ ] Analyser le secteur de boot <-- [X] Processus mémoire OK [ ] Analyser les archives <-- [ ] Analyser les fichiers enpaquetés <-- [ ] Analyser la messagerie <-- Masque fichiers [ ] Programmes <-- [X] Tous les fichiers OK [ ] Extensions définies par l'utilisateur: <-- [ ] Exclure les extensions: ; Action À faire sans discuter!!! Objets infectés (Tu ne lui recommande rien… Alors il fait rien!) [ ] Ignorer [ ] Désinfecter [ ] Effacer <-- [ ] Mettre en quarantaine [ ] Demander l'action Seconde action (En 2ièm action tu lui dis d’ignorer… Alors il ignore) [X] Ignorer À décocher [ ] Effacer <-- [ ] Mettre en quarantaine [ ] Demander l'action Options d'analyse [ ] Activer les alertes [ ] Activer l'heuristique [ ] Afficher tous les fichiers dans le journal [X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\memory_scan\1175789134.log OK Options d'analyse Spyware [ ] Analyse contre les risques non-viraux <-- [ ] Clés de registres <-- [ ] Cookies <-- Pour ce qui en est des prog qui démarre en même temps que Windows. Ceux que je t’ai mentionnés et porte le 04 au début de la ligne, ne sont pas supprimés, ils seront tjrs fonctionnel quand tu en auras besoin. Ils ne démarreront plus avec Windows, c’est tout. Pour te r’assurer c’est ce qui a de plus ‘safe’! Après avoir paramétré BitD Sys. refais moi un scan avec en mode sans échec – Enregistre le log – Refais moi un scan avec BitD on-line en mode normal. Pour une meilleure compréhension du log. (Ce n’est pas de ta faute pour le html! Mais il manquait des infos.) – Pour terminer, en mode sans échec, HJT – Toutes les logs tu les reposte ici et je suis sur que nous allons voir plus clair. J’ai autres choses si ceci ne fonctionne pas…! Bon courage Grodook! À:\+ TropJean ;o)

Grodoock · Answer

Re !!

Alalala, ces canadiennes qui postent n'importe où !! Bon, faisons semblant de n'avoir rien vu ...

Alors, mmh, je n'apporte pas de très bonnes nouvelles ...
Pour la configuration de BitDefender :  j'ai essayé de coller à tes instructions pour la config de l'antivir (mais c'était plus ou moins déjà ca).
Par contre, ca ne fonctionne toujours pas en mode Sans Echec (message = impossible de lancer BitDef Communicator ou un truc dans le genre). J'ai essayé différentes choses (éxécuter en temps qu'administrateur), j'ai fait le tour des options, je ne vois pas trop quoi faire ou cocher pour changer ca ...

Pour le scan online BitDef : il n'a rien trouvé (mais ca m'a pris 3h30 avec ma connexion en bois, grr)
Un scan en mode normal syst donne le même résultat.
Du coup, reste le log HJT :

Logfile of HijackThis v1.99.1
Scan saved at 21:44:11, on 06/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\EtudiantESCT\Bureau\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {8F4E369C-EF00-409B-9C43-12C4BE9248B8} - c:\windows\system32\bhbcbhb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: MS_update_0612_KB74062.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [JAVA_IBM] Java (IBM)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: vugaselr - C:\WINDOWS\SYSTEM32\bhbcbhb.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultrarpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

----------------------------------------------------------------

Le virus a lui toujours l'air bien présent :-(
Du coup : "J’ai autres choses si ceci ne fonctionne pas…! ", tu m'intéresses !!!
Voilà ... je ne désespère pas mais ca devient pesant, je compte bien passer le post en Résolu un de ces jours (pour le bonheur de tous) ;-)

++

Grodoock · Answer

Y'a moyen de faire qq chose ou je formate ???

TropJean · Answer

Salut Grodook, Ne reformate pas!!!! Je sais! Nous allons nettoyer ton log HJT pour voir plus clair. OK? D’ac, on commence avec ça! Télécharge Cleanizp http://www.malekal.com/download/clean.zip Dé zippe tout le contenu dans le même dossier - Double clic sur **clean ou clean.cmd** - Choisis l'option 1 - Un rapport va s'ouvrir – Enregistre le sur ton bureau – Copie/colle le contenu ici! Ensuite, ouvre HJT – Do a scan only – Coche ces lignes et clic sur Fix checked - C'est bien d'être prudent! Ceux-ci (04) sont ceux qui démarre en même temps que Windows et qui ralenti le démarrage. Tu ne les supprimes pas de ton lapt, tu les empêches de démarrer, c’est tout! Quand tu en auras besoin il seront là, à ta disposition sans prob! O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe Essais de le re-supprimer si il est encore là! O20 - Winlogon Notify: vugaselr - C:\WINDOWS\SYSTEM32\bhbcbhb.dll O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe Pour cette ligne… O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe Fais ceci… Pour éliminer ctfmon.exe au démarrage: Panneau de configuration - Options régionales et linguistiques - Langues - Détails - Barre de langue - Cocher la case **Arrêtez les services de texte avancés** Il ne devrait plus démarrer en même temps que Windows. Maintenant la toolbar de Google. (On la replacera plus tard!) Fais ceci… Démarré – Poste de trv – disque C :<-- Progam files – Cherche ici tout dossiers portant le nom de Google – Essais de le supprimer manuellement. Si ça ne marche pas nous allons essayer avec CCleaner! Voici comment… Une fois CCleaner ouvert clic sur **outils** - Delà, tu as 2 choix ds le tableau de droite, programme de désinstallation et démarrage. Tu te retrouves déjà sur la page du prog de désinst. – Si tu vois Toolbar/barre de rech ou simplement Google, essais de supprimer – clic sur **lancer la désinstallation** 1 er bouton à droite – Ensuite clic sur démarrage – Même chose ici… Si tu vois Toolbar/barre de rech ou simplement Google, essais d’effacer l’entrée – clic sur **effacer l’entrée** le bouton est en bas… Pour le reste je dois faire des vérifications sur le net…! On va attendre pour ne pas r’empirer la situation! Refais mon un scan de HJT après tout ça et poste le rapport de CleanZip et HJT pour approfondir la recherche! P.S. Stéphanie à compris et ma reposté dans son propre topic… Désolé pour l’inconvénient mais je sais que tu comprends que j’ai tout fais pour qu’elle poste ds son topic… Il a fallu que je fasse un copie/colle de tes logs pour ne pas me tromper de log… Ce n’est pas plus agréable pour moi mais je me suis débrouillé! ;o) J’attend les logs et continus mes recherches… À:\+ TropJean ;o)

Grodoock · Answer

Salut TropJean !!


Pour les 04 - Démarrage : je pense que le ménage est terminé.
La Toolbar google a subi le même sort.
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe --> c'est fait aussi.

Reste les : "Essais de le re-supprimer si il est encore là! 
O20 - Winlogon Notify: vugaselr - C:\WINDOWS\SYSTEM32\bhbcbhb.dll 
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe 

--> Rien à faire, ils reviennent à chaque fois :-(

Les Logs CleanZip et HJT :

Rapport clean par Malekal_morte - http://www.malekal.com 
Option 1, executee le 08/04/2007 a 13:59:21,64 
 
*** Recherche de fichiers sur C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\bdod.bin FOUND 
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND 
 
*** Fin du rapport !

---------
HJT :

Logfile of HijackThis v1.99.1
Scan saved at 15:30:56, on 08/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\IBM\IBM Rapid Restore Ultrarpcsb.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32undll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Documents and Settings\EtudiantESCT\Bureau\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {8F4E369C-EF00-409B-9C43-12C4BE9248B8} - c:\windows\system32\bhbcbhb.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Global Startup: MS_update_0612_KB74062.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [JAVA_IBM] Java (IBM)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: vugaselr - C:\WINDOWS\SYSTEM32\bhbcbhb.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultrarpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

----------------------------------------------------------

Voilà ... toujours la même saloperie qui se multiplie dans System32 sous de nouveaux noms. On va bien trouver un moyen de s'en débarasser nom d'une pipe en bois !!
Et t'inquiète pas pour le postage parasite ... le désespoir pousse parfois à des actes inconsidérés (comme vouloir reformater ;-) )

++

TropJean · Answer

Re,

Pour les 04… Excellent!

Pour eux… 

O20 - Winlogon Notify: vugaselr - C:\WINDOWS\SYSTEM32\bhbcbhb.dll 
Je vais réessayer de voir le comment pour lui!

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
Lui… Je vais t’envoyer le chemin pour te rendre au dossier et je vais t’envoyer un lien pour installer un prog  qui va t’aider à supprimer les dossiers récalcitrants! 

Pour CleanZip, je vérifie c’est quoi et je te reviens avec ça… J’ai l’impression que c’est BitD. 

Demain tu v’as avoir un tutorial sur la procédure à suivre et d’après moi tout devrais être correct, car ton log HJT est ok à qlq exceptions près!

À:\+ 

TropJean ;o)

Grodoock · Answer

Ok, ca marche.
J'attends de tes news alors !!

A+

TropJean · Answer

Re,

Voici comment faire pour… 
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

Télécharge ce prog… Il s’appel Unlocker,
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html

Essais ça…
Démarré – Search/Rechercher – Clic sur **tout dossiers et fichiers/all files & folders** – Ds le 1 er rectangle blanc, ou ton curseur clignote, écrit ** McAfee… Ou, Network Associates… ** - Avec ta souris descend la barre grise sur la droite du rectangle jusqu’à temps que tu vois un autre rectangle mais ou tu as une invite à choisir ds ql disque dur tu veux faire ta recherche. Choisi le C : <- Tu descend encore la barre grise pour cliquer sur **Plus d’option/More advanced options** - Ds le rectangle ou c’est écrit Type of files, il devrais déjà être sur l’onglet **All files & folders** À défaut place le sur cet onglet – Ensuite toutes les cases en dessous de ce rectangle se **doivent d’être coché** -  Pour terminer, clic sur le bouton **search/recherche** et attend qu’il termine sa recherche (En dessous de 15min.) – Si tu vois des dossiers/fichiers, surligne le/les (tient la touche control (ctrl) enfoncer si tu en as plusieurs) et clic sur le/les dossiers/fichiers qui porte le nom de McAfee… Ou, Network Associates… – Prends en un au hasard et clic droit dessus – Ensuite clic sur delete/supprimer. Et si ça ne marche pas… prend Unlocker

Voici comment tu v’as procédé avec Unlocker…

Clic droit sur le dossier de McAfee… Ou, Network Associates… -  Ensuite tu clic sur l’onglet Unlocker – Il va l’analyser et même s’il ne trouve rien, tu v’as avoir un choix d’action à faire, place l’onglet sur effacer – Ensuite clic sur le bouton valider – clic sur fermer s’il ne se ferme pas seul.

Si ça a marché… Essais maintenant le même procéder avec celui là… 
C:\WINDOWS\SYSTEM32\bhbcbhb.dll… Recherche, bhbcbhb.dll
J’ai fais le même procédé sur mon PC et il a tout trouvé les DLL que je recherchais… Et c’est avec le même procédé et prog que qlq’un a réussi à supprimer ses virus ZAPCHAST…! ;o)

Bonne chasse et bonne chance Grodook

Une fois ceci fais donne moi des news et si tu as réussis à les supprimer fais un scande HJT et envoi moi le log pour vérification.

Si tu as des questions ne te gène pas, je suis là pour ça!

À:\+

TropJean ;o)

Grodoock · Answer

Je met le log SmitFraud Option 2 qui manquait :

SmitFraudFix v2.168

Rapport fait à 17:29:49,23, 17/04/2007
Executé à partir de C:\Documents and Settings\EtudiantESCT\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS1\Services\Tcpip\..\{D147C090-577F-4219-B028-A8EEB196897D}: DhcpNameServer=82.216.111.123 82.216.111.122 82.216.111.124 82.216.111.125
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.123 82.216.111.122 82.216.111.124 82.216.111.125


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Et au redémarrage en normal, toujours le trojan bloqué par BitDef ... ca ne change pas gd chose, rien de mieux dans HJT.
Ca a juste viré mon fond d'écran :-(

A+

TropJean · Answer

Salut! Ben là!!!! Je ne sais plus par ou commencer…!?!?! Ça se tient… et je crois même être sûr que le fameux McAfee Framework est le dossier par ou les virus entre ds ton Pc… BitD le bloque? Il ne le supprime pas ou ne le mets pas en quarantaine? Navilog1 avec l’option 2 l’a supprimé… Il donne l'impression de... *** Suppression fichiers temporaires *** Nettoyage contenu C:\WINDOWS\Temp effectué ! Nettoyage contenu C:\Documents and Settings\EtudiantESCT\Local Settings\Temp effectué ! Cela s’appel pas touche!!! C’est des dossiers que théoriquement tu ne devrais pas voir car ils sont cachés habituellement. Si tu touches, tu risques d’être obligé de réinstaller Windows… Dis, ça te tente pas hein? J’aime les gens franc!!! C’est cool!!! ;o) Bon ok, maintenant que les questions sont répondu ou presque, voici ce que tu v’as faire maintenant… Pour commencer Java ont déjà une nouvelle mise à jour. La V 5.11 est passé date loll voici la V 6.01… Java : https://www.java.com/fr/download/manual.jsp Pour l’autre parti je dois te dire que j’ai cherché ce qui pourrait être le mieux à cette étape ci pcq moi je suis comme au bout (presque) de mes ressources. Je n’ai pas été voir les collègues sur le forum encore mais c’est ce que je vais faire si tu me reviens avec du négatif…! Voici un lien… http://www.malekal.com/Trojan.Zapchast.CA_Trojan-Spy.BZub.1.php où tu devras suivre à la lettre (comme tu le fais si bien déjà) les directives à suivre! Tu auras 2, 3 prog (encore, oui je sais!) à downloader et installer. Et S.T.P. je sais que cela ressemble à l’une des procédures que je t’ai envoyer et que nous l’avions fais et que ça n’a rien donné de plus que ce que l’on sais déjà MAIS…. Nouveaux prog et nouvelle procédure, j’me dis que nous n’avons rien à perdre et que comme tu v’as voir c’est une procédure pour enrayer le put@%&* de Zapchast et après vérification sur le même site j’ai vus/lus que c’est la même procédure pour l’autre put@*!# du nom de Marlo… Mais lui n’est pê plus ds ton PC. Est-ce que je me trompe? BitD te le mentionne t’il encore? Bon finalement j’ai ma réponse… Si j’avais lus jusqu’à la fin…! loll Mais je ne comprend pas Navilog l’a supprimé!?!?!? Je fais comme toi…. AAAAAAAAAAAAAAAAAAAAAAAAH!!!!!!! ca ne change rien non plus *ù$!@à)*ù^$!!!> Oui et non! Mais il fallait attendre avant de faire l’option 2 des dits prog… Il fallait que je vois les rapports avant que tu fasses l’opt2, à cause de ça… --> C’est prob que ça soit avec SmitfraudFix que tu as enlevé ton fond d’écran… L’as-tu remis? (Fond d’écran) Une fois le tout terminé, très important, post les logs ds l’ordre des scans et nous allons voir ce qu’il est advenus des virus et de ce qui reste à faire après!!! J’ai pris en note les scans que tu v’as faire… Je serais tjrs là pour te guider! ;o) Clean Zip Option2 (slmt) – SDFix - eScan – AVG-AS – Panda Online scan – HJT Voilà, j’attends de tes news positives… Je garde tjrs espoir!!! ;o) À:\+ TropJean ;o)

Grodoock · Answer

Re, Bon, écoute, je vais être franc. Je suis allé sur le site McAfee et j'ai pas été super emballé par l'idée de passer par le support technique ... Je t'avais posé différentes questions auxquelles tu ne m'as pas vraiment répondu mais je comprends tout à fait que tu ne puisses pas te démultiplier pour répondre à tout le monde en prenant le temps de faire le tour de tout ... Bon, c'est assez sibyllin tout ca ... le truc c'est que quoiqu'il en soit je te remercie de ton aide jusqu'à présent même si elle n'a pas été couronnée d'un succès total. Alors, là, ça y est, ca fait 1 mois que ca dure, je lache l'affaire ??? Non, jamais !! Cet apres-midi, j'ai décidé de tenter ma chance sur le site malekal que tu m'avais conseillé et où mon problème était clairement décrit. Bref, j'ai posté un message en exposant mon problème et en signalant que j'avais déjà tenté plusieurs solutions. 2 réponses plus tard, je pense que le problème est résolu mais j'attends toujours le retour pour confirmation. Alors, j'avoue, je t'ai fait une infidélité mais je promets de tout expliquer si ca a vraiment marché ... En tout les cas, en utilisant ComboFix, la dll infectieuse de System32 a été supprimée. Je te poste les 2 logs et te tiens au courrant de la fin de l'aventure (j'espere que c'est la fin sinon je termine l'ordi à coup hache) : "EtudiantESCT" - 07-04-26 0:35:29 Service Pack 2 ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\EtudiantESCT\Bureau\" Command switches used :: "/v vugaselr" (((((((((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\bhbcbhb.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\drivers\wesuaocv.sys C:\WINDOWS\system32\bhbcbhb.dll ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\dnlfribr -------\ojkpmqjb -------\LEGACY_DNLFRIBR -------\LEGACY_OJKPMQJB ((((((((((((((((((((((((((((((( Files Created from 2007-03-26 to 2007-04-26 )))))))))))))))))))))))))))))))))) 2007-04-25 19:32 d-------- C:\VundoFix Backups 2007-04-23 18:09 d-------- C:\WINDOWS\system32\ActiveScan 2007-04-23 12:39 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2007-04-19 01:22 d-------- C:\Program Files\RegCleaner 2007-04-18 21:38 d-------- C:\Downloads 2007-04-18 21:38 d-------- C:\Bases 2007-04-18 21:36 d-------- C:\Kaspersky 2007-04-17 15:01 3,376 --a------ C:\WINDOWS\system32 mp.reg 2007-04-06 03:02 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2007-04-04 20:50 d-------- C:\Program Files\MSXML 4.0 2007-04-04 20:50 d-------- C:\4451a1fd0742b2d9c5eab2ca54 2007-04-04 04:07 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-04-04 04:02 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google 2007-04-04 04:01 d-------- C:\Program Files\Google 2007-04-04 04:01 d-------- C:\DOCUME~1\ETUDIA~1\APPLIC~1\Google 2007-04-04 03:26 16,384 --a------ C:\WINDOWS\system32\FileOps.exe 2007-04-04 03:26 d-------- C:\Program Files\Fichiers communs\Vbox 2007-04-04 03:23 d-------- C:\Adobe Illustrator 10 2007-04-04 02:41 d-------- C:\WINDOWS\system32\PreInstall 2007-04-04 02:35 18,200 --a------ C:\WINDOWS\system32\wups2.dll 2007-04-04 02:26 d-------- C:\WINDOWS\system32\fr-fr 2007-04-04 02:22 d--h----- C:\WINDOWS\$hf_mig$ 2007-04-04 02:13 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage 2007-04-03 15:47 d-------- C:\Program Files\CCleaner 2007-04-03 14:57 583 --a------ C:\DOCUME~1\ETUDIA~1\clean.reg 2007-04-02 19:06 d-------- C:\WINDOWS\BDOSCAN8 2007-03-29 18:49 d-------- C:\DOCUME~1\ETUDIA~1\APPLIC~1\Neurohack 2007-03-29 18:45 445 --a------ C:\WINDOWS\EntPack.dat (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-06 03:14 913408 --a------ C:\WINDOWS\system32\xreglib.dll 2007-04-06 03:03 -------- d-------- C:\Program Files\messenger 2007-04-04 19:27 87556 --a------ C:\WINDOWS\system32\perfc00c.dat 2007-04-04 19:27 510048 --a------ C:\WINDOWS\system32\perfh00c.dat 2007-04-04 03:24 -------- d--h----- C:\Program Files\installshield installation information 2007-04-04 02:35 -------- d--h----- C:\Program Files\windowsupdate 2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll 2007-03-08 17:37 578560 --a------ C:\WINDOWS\system32\user32.dll 2007-03-08 17:37 40960 --a------ C:\WINDOWS\system32\mf3216.dll 2007-03-08 17:37 281600 --a------ C:\WINDOWS\system32\gdi32.dll 2007-03-08 17:33 1843712 --a------ C:\WINDOWS\system32\win32k.sys 2007-03-06 22:44 286720 --a------ C:\WINDOWS\iun506.exe 2007-02-05 22:19 185344 --a------ C:\WINDOWS\system32\upnphost.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll {5CA3D70E-1895-11CF-8E15-001234567890} C:\WINDOWS\system32\dla fswshx.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un] "S3TRAY2"="S3Tray2.exe" "!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized" "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" "TPKMAPHELPER"="C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper" "TpShocks"="TpShocks.exe" "TPHOTKEY"="C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" "BMMLREF"="C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE" "BMMMONWND"="rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor" "TP4EX"="tp4ex.exe" "EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" "dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" "IBMPRC"="C:\IBMTOOLS\UTILS\ibmprc.exe" "QCWLICON"="C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE" "BMMGAG"="RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" "BDMCon"="\"C:\Program Files\Softwin\BitDefender10\bdmcon.exe\" /reg" "BDAgent"="\"C:\Program Files\Softwin\BitDefender10\bdagent.exe\"" "UnlockerAssistant"="\"C:\Program Files\Unlocker\UnlockerAssistant.exe\"" "SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "appinit_dlls"="sockspy.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0pwdmon\0\0 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Digital Line Detect.lnk] "path"="C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Digital Line Detect.lnk" "backup"="C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup" "location"="Common Startup" "command"="C:\PROGRA~1\DIGITA~1\DLG.exe " "item"="Digital Line Detect" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs* dnlfribr [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E] Shell\AutoRun\command E:\autorun\autorun.exe Contents of the 'Scheduled Tasks' folder C:\WINDOWS asks\BMMTask.job ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-26 00:46:01 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-26 0:46:25 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 07-04-26 00:46 Rapport HJT : Logfile of HijackThis v1.99.1 Scan saved at 00:47:41, on 26/04/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\IBM\IBM Rapid Restore Ultra rpcsb.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\WINDOWS\system32 undll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\WINDOWS\system32\dla fswctrl.exe C:\IBMTOOLS\UTILS\ibmprc.exe C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Softwin\BitDefender10\vsserv.exe C:\Program Files\Softwin\BitDefender10\bdmcon.exe C:\Program Files\Softwin\BitDefender10\bdagent.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\EtudiantESCT\Bureau\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla fswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla fswctrl.exe O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O11 - Options group: [JAVA_IBM] Java (IBM) O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS pqtplugin2.dll O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS pqtplugin3.dll O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS pqtplugin3.dll O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS pqtplugin.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5015/mcfscan.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra rpcsb.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe (file missing) O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Quand bien même le probleme serait résolu, j'aurais toujours besoin de quelques conseils pour remettre de l'ordre dans toutes ces installations anarchiques d'antispy, antivir, antietcetera (si possible) ... Je te tiens au courrant, A+ Grodoock (zogzog)

TropJean · Answer

Salut Grodook, Premièrement… C’est la 1ièr fois que je porte plus attention au problème et sa solution qu’à la personne… :o( Sincèrement désolé! Merci de comprendre… Merci pour le message à Alex! C’est pas la 1ièr fois et pas la dernière non plus que ça ce produit ;o) Je suis vraiment content pour toi si tu réussis à supprimer ces put?!$%?# de bestioles virtuel!! À lire le log d’HJT, il n’y a que McAfee qui reste… Essais donc de le supprimer avec HJT maintenant, juste pour voir ce que ça va faire… Tu connais la procédure ;o) « J’avoues que l’idée du support technique (McAfee) m’enchantais pas vraiment mais… J’y reviens plus bas, j’ai pensé à qlq chose si HJT ne fait pas le boulot! » Ensuite tu dis… ??? Heuuu…! C’est moi qui t’ai conseillé le lien… Y a pas d’infidélité là… Mais plutôt une bonne initiative! & en plus je n’ai pas répondus à toutes tes questions! ;o) Au lieu d’expliquer, résume et met le lien qui nous conduira directement à la solution sur le site de Malekal… (Fait un copie/coller de l’adresse qui se trouve ds ta barre d’adresse de Firefox) Même si ça ne fonctionne pas pour toi, (Le contraire est plus que plausible maintenant!) ça ne veux pas dire que ça ne fonctionneras pas pour qlq’un d’autre…! Le but primaire des forums comme ceux-ci, c’est le partage des solutions. C’est la beauté des forums ;o) Merci de me faire encore confiance, ça va me faire plaisir de t’aider… J’aime bien travailler avec des gens qui s’aide en prenant des bonnes initiatives ;o) Pour McAfee maintenant… Le prog de McAfee que tu avais installé était t’il un que tu avais acheté ou une édition gratuite? Ds un cas comme ds l’autre réinstalle le prog et désinstalle le en allant supprimer toi-même le dossier de McAfee framework. Tu as forcément un fichier de désinstallation ds ce dossier… -> uninst… À défaut, Supprime le dossier de McAfee framework avec Unlocker! Après l'avoir désinstallé du menus ajout/suppr... (McAfee) J’attend impatiemment le lien pour suivre les détails de tes procédures... À:\+ TropJean ;o)

Infecté par Trojan Zapchast.CA

18 réponses

Discussions similaires

Newsletters