Dr Watson et autres erreurs. Que faire ? Résolu/Fermé

Question

Bonjour,

J'ai de gros problèmes sur mon PC et je ne sais plus comment m'en dépatouiller ! Depuis quelques jours, j'ai de nombreuses erreurs (avec proposition d'envoyer le rapport à Microsoft ), dont des drwtsn.

Regedit impossible, barre des tâches idem (erreurs).

Avast a bien mis 3 heures à faire le tour et a détecté le trojan dialer-407.

Erreurs aussi en mode sans échec. Et les restaurations ne fonctionnent pas.

Et puis, maintenant, il faut que je renseigne mon nom d'utilisateur à l'ouverture d'XP.


Je ne sais pas quoi faire. J'ai des données que j'aimerais conserver donc si je pouvais éviter le formatage !!

Voilà mon rapport de Hijackthis (j'ai enlevé une partie des drwtsn32.exe):

Logfile of HijackThis v1.99.1
Scan saved at 22:52:00, on 17/04/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\ISStart.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\fdcwxcbo.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Documents and Settings\User\Mes documents\Sécurité\HijackThis.exe
C:\WINDOWS\System32\drwtsn32.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32
tos.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fdcwxcbo.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32
tos.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


Un grand merci d'avance !

Lyonnais92 · Answer

Bonjour,

ce qui est incroyable est que tu n'ais pas eu plus d'ennui avant !

1) Installe un parefeu ;

va sur ce lien http://kerio.probb.fr/Systemesd-exploitation-c1/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-Kerio-4-version-gratuite-t201.htm

télécharge et configure Kerio (gratuit même après la période d'esssai).

2) Renomme Hijackthis.exe en ScanVundo.exe.

Reéxécute le et poste le log.

3) Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

* Double-clique VundoFix.exe afin de le lancer. 
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo 
* Clique sur le bouton Scan for Vundo. 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK 
* Démarre ton PC à nouveau. 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

Note Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". 

4) Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur escargar Elibagla 10.09
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt 

Si, dans le rapport, tu vois un texte semblable à celui-ci 

Por favor, envienos una muestra del fichero 
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

5) relance scanvundo. Choisis do a scan only.

Coche la  case devant les lignes :

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32
tos.exe,
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32
tos.exe

Ferme toutes les fenêtres actives, en particulier le navigateur et clique sur fix checked.

6) télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en italique ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32
tos.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

7) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

Si tu ne peux pas démarrer en mode sans échec, arrête ce point.

8) Remets un log HijckThis (vundoscan).

9) surfe un minimum sur le net tant que l'ordi n'est pas propre (et ton système pas à jour, mais on ne mettra le système à jour que quand l'ordi sera stable)

@+

e-maud · Answer

Oh, merci !!
Je vais suivre tout ça au plus vite...

e-maud · Answer

J'ai effectué pour l'instant les étapes 1, 2 et 3, soit l'installation du parefeu, le lancement de ScanVundo puis VundoFix.

Après redémarrage, j'ai une alarme qui me dit que des fichiers de config de XP ont été modifiés et m'invite à insérer le cd d'installation. 
Je ne l'ai pas fait jusqu'à présent.

Le lancement de Elibagla.exe me dit, si je comprend bien, que l'archive a été modifiée. J'ai voulu récupérer l'exe d'origine que j'avais sur une clé usb mais pour l'instant sans succès, tellement mon pc ne répond plus !

Donc idem pour copier sur ma clé les différents rapports Hijackthis...


Je persévère...
Faut-il que j'installe le CD d'XP comme demandé ?

Lyonnais92 · Answer

Bonjour,

pourrais tu me donner le rapport de vundofix (au pire, la liste des fichiers supprimés, pour vérifier si un fichier système a pu être atteint).

Peux tu ouvrir le gestionnaire de tâches -CTRL, Alt, Suppr (ou del) ?

Si oui, dans les applications, as tu DrWAtson (plusieurs d'ailleurs). Si oui, essayes de faire fin de tâche sur toutes.
Si non, va dans processus, cherche les drwtsn32.exe , clic droit et arrêter.

Ca devrait rendre un peu de maniabilité au pc qui doit être paralysé par tous les DrWatson.
@+

e-maud · Answer

A force de patience, j'ai réussi à récupérer les différents logs:
2) Hijackthis.exe renommé en ScanVundo.exe:

Logfile of HijackThis v1.99.1
Scan saved at 18:33:14, on 18/04/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\ISStart.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Program Files\Logitech\Video\ManifestEngine.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\Documents and Settings\User\Mes documents\Sécurité\ScanVundo.exe
C:\WINDOWS\System32\drwtsn32.exe
C:\WINDOWS\System32\drwtsn32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32
tos.exe,
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\culdkloj.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\awtsqol.dll
O2 - BHO: (no name) - {B0FFE4A6-C007-4010-BBC2-BF13DEA7869C} - C:\WINDOWS\System32\cbxvu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fdcwxcbo.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32
tos.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtsqol - C:\WINDOWS\SYSTEM32\awtsqol.dll
O20 - Winlogon Notify: cbxvu - C:\WINDOWS\System32\cbxvu.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe


3) VundoThis:

VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.11

Scan started at 18:46:50 18/04/2007

Listing files found while scanning....

C:\WINDOWS\system32\awtsqol.dll
C:\WINDOWS\System32\cbxvu.dll
C:\WINDOWS\system32\culdkloj.dll
C:\WINDOWS\system32\ddccaxw.dll
C:\WINDOWS\system32\fnpdcrwu.dll
C:\WINDOWS\system32\hdaxdxvp.dll
C:\WINDOWS\system32\hdmstiqx.dll
C:\WINDOWS\system32\iifdcyx(2).dll
C:\WINDOWS\system32\khfghhg.dll
C:\WINDOWS\system32\ljjkhef.dll
C:\WINDOWS\system32\opnoolj.dll
C:\WINDOWS\System32\uvxbc.bak1
C:\WINDOWS\System32\uvxbc.bak2
C:\WINDOWS\System32\uvxbc.ini
C:\WINDOWS\system32\yayyawt.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\awtsqol.dll
C:\WINDOWS\system32\awtsqol.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\System32\cbxvu.dll
C:\WINDOWS\System32\cbxvu.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\culdkloj.dll
C:\WINDOWS\system32\culdkloj.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\ddccaxw.dll
C:\WINDOWS\system32\ddccaxw.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\fnpdcrwu.dll
C:\WINDOWS\system32\fnpdcrwu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\hdaxdxvp.dll
C:\WINDOWS\system32\hdaxdxvp.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\hdmstiqx.dll
C:\WINDOWS\system32\hdmstiqx.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\iifdcyx(2).dll
C:\WINDOWS\system32\iifdcyx(2).dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\khfghhg.dll
C:\WINDOWS\system32\khfghhg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ljjkhef.dll
C:\WINDOWS\system32\ljjkhef.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\opnoolj.dll
C:\WINDOWS\system32\opnoolj.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\uvxbc.bak1
C:\WINDOWS\System32\uvxbc.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\uvxbc.bak2
C:\WINDOWS\System32\uvxbc.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\uvxbc.ini
C:\WINDOWS\System32\uvxbc.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\yayyawt.dll
C:\WINDOWS\system32\yayyawt.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\awtsqol.dll
C:\WINDOWS\system32\awtsqol.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\cbxvu.dll
C:\WINDOWS\System32\cbxvu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\culdkloj.dll
C:\WINDOWS\system32\culdkloj.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\uvxbc.ini
C:\WINDOWS\System32\uvxbc.ini Has been deleted!

Performing Repairs to the registry.
Done!


3 bis) Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 08:10:00, on 19/04/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
C:\Documents and Settings\User\Mes documents\Sécurité\ScanVundo.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32
tos.exe,
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {491A9D79-6008-450E-B0D1-762F3FD8E729} - C:\WINDOWS\System32\cbxvu.dll (file missing)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\culdkloj.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\awtsqol.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fdcwxcbo.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32
tos.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe


4) ce midi, je n'ai pas eu la même erreur sur la configuration XP changée. Et impossible d'avoir le gestionnaire des tâches.
Un copier-coller ne marche pas mais je peux tenter de lancer Elibagla.exe à partir de ma clé, peut-être.

Lyonnais92 · Answer

Re,

je ne sais pas si tu n'arrives pas à démarrer en mode sans échec ou si tu as des soucis aussi en mode sans échec.

Je fais le pari que tu démarre. Si ce n'est pas le cas, j'ai une autre solution, mais elle me demandera un peu de temps de travail.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde) (ou la touche F5 si F8 ne fonctionne pas).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis la session sous laquelle tu te connectes en mode normal.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Si tu as pu arriver là, l'ordi devrait mieux aller.
@+

e-maud · Answer

merci pour tes réponses si rapides. Pas de fichier critique supprimé, finalement ?

Donc, je passe à l'étape 7. et si ça fonctionne, je peux revenir au reste ? EliBagle + Fix sous Hijackthis + OTMoveIt. Dans cet ordre ou peu importe ?

Pour info, Kerio détecte constamment winiogon.exe.
Mais, en tout cas, j'ai débranché le modem pour isoler mon pc.

Bon week-end.

Lyonnais92 · Answer

Re,

si tu peux démarrer en mode sans échec, tu fais directement SDFix, le point 7 initial.

Sinon, tu essayes de passer elibagla, pui de démarrer en sans échec.

Sinon, tu poursuis comme indiqué.
@+

e-maud · Answer

En mode sans echec, j'ai lancé SDFix mais il ne s'est rien passé après "Checking Running Processes, services and files".

Elibagle me dit que l'archive a été modifiée par un virus. Sinon, j'ai toujours en fait un message me demandant de mettre le cd d'install car des fichiers d'XP ont été modifiés et le pc manque de mémoire virtuelle.


J'ai lancé un "Fix checked" sur Hijackthis, puis OTMoveIt:

File/Folder C:\WINDOWS\System32\winIogon.exe not found.
File/Folder C:\WINDOWS\System32\algs.exe not found.
File/Folder C:\WINDOWS\System32\iexplore.exe not found.
File move failed. C:\WINDOWS\System32
tos.exe scheduled to be moved on reboot.
 
Created on 04/23/2007 21:28:34


Nouveau rappot Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 07:55:23, on 24/04/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Documents and Settings\User\Mes documents\Sécurité\ScanVundo.exe
C:\WINDOWS\system32\drwtsn32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32
tos.exe,
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {491A9D79-6008-450E-B0D1-762F3FD8E729} - C:\WINDOWS\System32\cbxvu.dll (file missing)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\culdkloj.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\awtsqol.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fdcwxcbo.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Lyonnais92 · Answer

Bonsoir,

1/ relance hijackthis et coche ces lignes : 

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32
tos.exe,
 O2 - BHO: (no name) - {491A9D79-6008-450E-B0D1-762F3FD8E729} - C:\WINDOWS\System32\cbxvu.dll (file missing) 
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\culdkloj.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\awtsqol.dll (file missing)
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fdcwxcbo.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll

Ferme toutes les autres fenêtres et puis clic sur le bouton "fix checked" .
ferme hijackthis 

2/ Avec l'explorateur windows, tu cherches puis tu supprimes :
C:\WINDOWS\System32\fdcwxcbo.exe

C:\WINDOWS\System32pcc.dll
3/ Télécharge Pocket KillBox 

Ensuite, tu le dézippes sur ton bureau. 
Démo animée 
http://pageperso.aol.fr/balltrap34/killbox.htm 

Ouvre Pocket Killbox 
colle dans la petite boite, le chemin complet du fichier suivant: 

C:\WINDOWS\system32
tos.exe 

et clique sur Delete on Reboot, puis clique sur le cercle rouge avec la croix, tu auras le message suivant:"File with be deleted on next reboot, Process and Reboot now?" ,tu cliques sur "yes" . 

Le PC doit redémarrer, sinon, fais le. 

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, 
redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur 

4/ Supprime ce dossier : 

C:\!KillBox 

5/ Vide ta corbeille et redémarre ton PC 

Remets un log Hijackthis (scanvundo).
@+

e-maud · Answer

Voilà où j'en suis:

Logfile of HijackThis v1.99.1
Scan saved at 22:25:28, on 25/04/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Documents and Settings\User\Mes documents\Sécurité\ScanVundo.exe
C:\WINDOWS\System32\drwtsn32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Lyonnais92 · Answer

Bonjour,

où en es tu de tes soucis ?

est ce que l'ordinateur est stable (pas de freeze, pas de reboot sauvage, pas d'écran bleu) ?
@+

e-maud · Answer

J'ai eu droit à l'écran bleu mais depuis les dernières commandes c'est bon.

Par contre, j'ai le message d'erreur disant que des fichiers d'XP ont été modifiés, le pc est super lent (je peux attendre 1 minute avant qu'un fichier txt s'ouvre ou pour naviguer dans l'explorateur) et je ne peux pas tout lancer (gestionnaire des tâches, regedit, lancement automatique de CD...).

Et j'ai de nombreux DrWatson. Il y en avait en fait plus de 200 dans mon précédent log HijackThis.

Lyonnais92 · Answer

Re,

pourquoi es tu encore à Xp et pas à Xp pack 2 ?
@+

e-maud · Answer

Parce que je n'en ai pas les droits.

Qu'est-ce que je peux faire pour réparer ma version actuelle (qui a déjà très bien marché) ?
Ce matin, j'ai remarqué que j'ai eu un Drwtsn et l'erreur " manque de mémoire virtuelle" avant même d'ouvrir ma session.

Lyonnais92 · Answer

Bonjour,

je crois que c'est le moment de réparer Windows. Tu dois avoir des fichiers corrompus.

Il serait bien que tu puisses faire une sauvegarde de tes fichiers perso (photos, documents, vidéos, courriels, ..) soit sur une autre partition que celle où tu as Windows, soit, mieux encore, sur un autre disque physique. Un DD externe convient très bien.

Dans un premier temps, tu suis la demande de mettre le CD de Windows. Si cela ne donne rien, tu feras exactement ce qui est ci-dessous.

Tu regardes d'abord ce tuto :

http://www.informatruc.com/reparer-windows-xp/

Dans un premier temps, il faut passe par installer. Sinon, on tombe sur la console de récupération. Il faudrait savoir quels sont les fichiers à réparer pour que cela en vaille la peine.

Dans un second temps, il faut choisir réparer pour réinstaller par dessus et rcupérer tes données perso et les autres programmes.

Quand il a copié les fichiers, à un moment, on va te demander de redémarrer. A ce moment là, il faut enlever le CD, sinon la procédure recommence. A la fin, on risque de te demander des drivers non Windows pour tes applis.

@+

e-maud · Answer

La réparation n'a malheureusement rien donné.
Alors j'étais prête à tout réinstaller mais je crois que je m'y prend mal.

J'ai un seul disque, de 13.9 Go.
J'aurais voulu  le formater puis installer XP mais je n'ai pas trouvé comment faire. Alors j'ai installé une nouvelle version d'XP sur l'ancienne. Mais c'est brouillon !

Je me souviens qu'une fois j'avais partitionné le disque, installé XP sur la  nouvelle partition et formaté l'autre partie pour faire place nette.

Mais, là, je ne (re)trouve pas comment faire.

J'ai un disque dynamique MBR, en NTFS et 8Mo non alloués.

Merci !

Lyonnais92 · Answer

Bonjour,

tu as pu sauvegarder tes données perso ?

Tu peux envoyer un log HIjackthis ?

Que veux dire la réparation n'a rien donné ? 

@+

e-maud · Answer

oui, mes données sont sauvegardées.

J'avais toujours des erreurs après la réparation et j'ai donc tenté une nouvelle installation de XP mais sur l'ancienne.

J'aurais bien aimé être sûre de tout effacer et donc de passer par un formatage.

Lyonnais92 · Answer

Re,

tu as un graveur de CD réinscriptible ?

Mon idée est de télécharger le SP2 et de le graver. Ca évitera de te reconnecter au net sans protections. Même chose pour le parefeu . Pour l'AV, le téléchargement de avast doit être sûr si tu le fais sur le site de alwil software. Je ne sais plus si tu peux récupérer la clé d'activation.

Ton système est sain ? (avast et AVG AS ne montrent rien ?, idem Spybot et ad aware).

Mets moi un log HijackThis.
@+

Lyonnais92 · Answer

Re,

je continue à chercher ce dont tu auras besoin.

Ce lien avast renouveler la licence version familiale gratuite devrait te permettre de retrouver ta clé avast actuelle, de la noter sur un papier et de réactiver avast sans changer de clé (note la manip avant, si tu dois venir la consulter ici, tu ne seras pas protégée à ce moment, donc à éviter !).
@+

e-maud · Answer

merci.
en fait, j'ai tout sauvegardé sur mon disque dur externe.
J'ai le SP2, mais de toute façon, je ne suis pas autorisée à l'utiliser.

Est-ce qu'il ne vaut mieux pas que je formatte mon disque avant de commencer les ré-installations (antivirus, parefeu puis connection internet) ?
Parce que, là, dans Program Files, j'ai des restes de software d'avant ma ré-installation d'XP. Ce n'est pas très net.

Comment faire ?

Lyonnais92 · Answer

Re,

si tu es prête à tout formater, ce sera plus propre.

tes restes, c'est  pas lié à Windows mais à tes softs ou seulement à avast, Kerio, ...
@+

e-maud · Answer

comment faire, alors, pour formater ?

A chaque essai, je me suis retrouvée avec un refus parce que le disque contient XP.

Lyonnais92 · Answer

Re,

lis déjà ça :formatage formater un disque dur

Il me semble que créer une disquette bootable (si tu as un lecteur de disquette) devrait te permettre de formater ton disque. Mais il faut booter en premier sur disquette (changement dans le bios).

Ensuite, tu insères le CD (à ce moment là, il faut booter en premier sur le CD ; en fait si tu bootes en 1 sur la disquette, en 2 sur le CD et en 3 sur le disque dur, ça devrait aller, à condition que tu n'ai pas de disquetet quand tu veux booter sur le CD et ni disquette ni CD quand tu veux booter sur le disque dur).
@+

e-maud · Answer

ok, merci, je vais ré-essayer.

Mais, à partir du CD, je n'étais pas autorisée à supprimer la partition système.

Et à partir d'une disquette de démarrage, j'ai eu droit à "Bad command" sur "format C:".

Compliqué tout ça !

Lyonnais92 · Answer

Re,

à lire
format c xp familial ne marche pas

tu as vu le mp ?

pour le boot sur disquetet, je crois que cela vient du format en NTFS de ta partition que DOS ne reconnait pas. 

Donc il faut passer par le CD.
@+

e-maud · Answer

C'est bon.
Après divers essais, j'ai eu le droit de supprimer la partition système et formater !

Avant d'installer ma connection, je vais donc bien protéger mon pc, en espérant que firewall+antivirus+antispyware suffisent.

Kerio+avast+ad-aware, ça va ?

Lyonnais92 · Answer

Bonjour,

très vite,

Avast + Kerio + Spybot avec le tea timer activé.

Ad aware et AVG AS de temps en temps.
A ce soir.

e-maud · Answer

J'ai du désactiver le firewall le temps d'installer ma connection et j'ai été infecté. Mais, AVG semble avoir résolu tout ça.

Et me voilà avec un accès internet et un pc qui répond à mes demandes !

Merci pour tous tes conseils !!

Lyonnais92 · Answer

Bonjour,

un log Hijackthis, après un log Bit defender on line permettrait de vérifier.
@+

Dr Watson et autres erreurs. Que faire ?

31 réponses

Discussions similaires