Infecté par GenPack:Trojan.Dialer. Résolu

Question

Bonjour,
Qui peut m'aider?

Je vient de terminer une discussion à propos du blocage de mon PC.  Un ami est parvenu à me sortir du pétrin. Le pc à été bien nettoyé.  Mais le scan en ligne m'a encore sorti une dernière crotte.
Voici le rapport Bitdefender.
BitDefender Online Scanner

 
Rapport d'analyse généré à: Thu, Jul 26, 2007 - 00:18:36
 
   
 
Voie d'analyse: C:\
 
Fichier analysé
  Statut
 
C:\hawa.chm=>/d_hawa.exe
 Infecté par: GenPack:Trojan.Dialer.CE
 
C:\hawa.chm=>/d_hawa.exe
 Echec de la désinfection
 
C:\hawa.chm=>/d_hawa.exe
 Supprimé
 
C:\hawa.chm
 Echec de la mise à jour
 
C:\WINDOWS\system32\Macromed\Shockwave 10\Download.exe
 Suspecté de: BehavesLike:Trojan.Downloader
 
C:\WINDOWS\system32\Macromed\Shockwave 10\Download.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\Macromed\Shockwave 10\Download.exe
 Supprimé

Voici le rapport CCleaner
NETTOYAGE COMPLET - (4,014 secs)
------------------------------------------------------------------------------------------
0,11MB supprimés.
Effacement Sécurisé des fichiers activé - Effacement Simple (1 passage)
------------------------------------------------------------------------------------------

Détails des fichiers effacés
------------------------------------------------------------------------------------------
Fichiers Temporaires d'Internet Explorer (fichiers 6) 402 bytes
Cookie:GTLAGAFFE@xiti.com/(&H100001) 100 bytes
Cookie:GTLAGAFFE@www.lidl.be/be/home_fr.nsf/pages/(&H100001) 388 bytes
Cookie:GTLAGAFFE@www.commentcamarche.com/(&H100001) 114 bytes
Cookie:GTLAGAFFE@bluestreak.com/(&H100001) 427 bytes
Cookie:GTLAGAFFE@www.lidl.be/be/home_nl.nsf/pages/(&H100001) 261 bytes
Cookie:GTLAGAFFE@sdv.fr/(&H100001) 77 bytes
Marqué pour l'effacement: C:\Documents and Settings\GTLAGAFFE\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Marqué pour l'effacement: C:\Documents and Settings\GTLAGAFFE\Cookies\index.dat
C:\WINDOWS\TEMP\startdrv.exe 20,50KB
C:\WINDOWS\TEMP\T30DebugLogFile.txt 0 bytes
C:\WINDOWS\TEMP\win1.tmp 0 bytes
C:\WINDOWS\TEMP\win10.tmp 0 bytes
C:\WINDOWS\TEMP\win100.tmp 0 bytes
...
Note: il y en a comme ça un paquet
....

C:\WINDOWS\TEMP\winFC.tmp 0 bytes
C:\WINDOWS\TEMP\winFD.tmp 0 bytes
C:\WINDOWS\TEMP\winFE.tmp 0 bytes
C:\WINDOWS\TEMP\winFF.tmp 0 bytes
C:\DOCUME~1\SCARON~1\LOCALS~1\Temp\~DFB5D.tmp 16,00KB
C:\DOCUME~1\SCARON~1\LOCALS~1\Temp\~DFF15F.tmp 16,00KB
C:\WINDOWS\system32\wbem\Logs\wbemess.log 40,20KB
C:\WINDOWS\system32\wbem\Logs\WinMgmt.log 324 bytes
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 2,13KB
C:\WINDOWS\0.log 0 bytes
C:\WINDOWS\setupapi.log 10,28KB
C:\Documents and Settings\GTLAGAFFE\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 300 bytes
------------------------------------------------------------------------------------------
 Et enfin le log HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 0:34:03, on 26/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.be/ALDI_BF/home.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Si quelqu'un peut m'aider merci de me répondre.
En effet j'aimerais installer un firewall sur des bases saines

raleuboleu · Answer

salut

nan ton parefeu tu peu le mettre la , maintenant , tout de suite meme^^

lance ces programmes 1 par 1 , colle tous rappoets possble stp

vundo:



    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    Double-clique VundoFix.exe afin de le lancer.

    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau. 




virtumonde:



Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu




Sdfix:


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !



hijack renomé et bien placé via le lien ci dessous :

-https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html


postes tous rapports que tu peux ok!!! moi jgo o lit en attendant loool ca fait sadik , disons je vais dormir et je verais tes rapports .......quand ils seront là ^^ !!!c mieux nan? bonne nuit et have a good night a toi

bizpux

gtlagaffe · Answer

Salut Raleboleu,
Merci pour ta réponse.
Pour info, je te réponds pour l'instant avec un pc en internet haut débit,sous Firefox et (normalement) bien protégé.
Le Pc infecté n'est pas encore protégé à 100% mais c'est un autre probs.
En attendant voici ce que tu m'a demandé:
(Bien que j'aie imprimé ta procédure, je l'ai effectuée comme au tiercé, dans le désordre! Sorry)


SDFix: Version 1.94

Run by GTLAGAFFE on ven. 27/07/2007 at 18:04

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\GTLAGA~1\MESDOC~1\AA03T07\SDFIXRAP\SDFix

Safe Mode:
Checking Services: 

Name:
lanmandrv
NDnet1
runtime2

ImagePath:
\??\C:\WINDOWS\System32\lanmandrv.sys 
\??\C:\WINDOWS\System32\ksys.sys 
\SystemRoot\system32\driversuntime2.sys 

lanmandrv - Deleted
NDnet1 - Deleted
runtime2 - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\LOAD.EXE - Deleted
C:\WINDOWS\SYSTEM32\RCHIZ.EXE - Deleted
C:\-15326~1 - Deleted
C:\WINDOWS\Temp\win4A.tmp.exe - Deleted
C:\WINDOWS\Temp\win52.tmp.exe - Deleted
C:\WINDOWS\Temp\win55.tmp.exe - Deleted
C:\WINDOWS\Temp\win7B8.tmp.exe - Deleted
C:\WINDOWS\Temp\win4A.tmp.exe - Deleted
C:\WINDOWS\Temp\win52.tmp.exe - Deleted
C:\WINDOWS\Temp\win55.tmp.exe - Deleted
C:\WINDOWS\Temp\win7B8.tmp.exe - Deleted
C:\WINDOWS\loadadv605.exe  - Deleted
C:\WINDOWS\system32\3_exception.nls  - Deleted
C:\WINDOWS\system32\driver.exe  - Deleted
C:\WINDOWS\system32\qmopt.dll  - Deleted
C:\WINDOWS\Temp\startdrv.exe  - Deleted
C:\WINDOWS\system32\driversuntime2.sys  - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\GTLAGAF~1\MESDOC~1\AA03T07\SDFIXRAP\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\Twain.dll
C:\WINDOWS\Twain_32.dll
C:\WINDOWS\system32\MFC42.DLL
C:\WINDOWS\system32\msvcirt.dll
C:\WINDOWS\system32\msvcp60.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\system32\olepro32.dll
C:\WINDOWS\system32egsvr32.exe
C:\Program Files\Common Files\X10\Common\x10prod.sys
C:\Documents and Settings\GTLAGAFFE\Application Data\Microsoft\ModŠles\~WRL0002.tmp

                                 Finished 

Ensuite:
VundoFix m'a indiqué qu'il n a pas trouvé de Virus

Et Virtumondo:
[07/27/2007, 18:28:52] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\GTLAGAFFE\Mes documents\AA03T07\VirtuMondo2\VirtumundoBeGone.exe" )
[07/27/2007, 18:28:58] - Detected System Information:
[07/27/2007, 18:28:58] -  Windows Version: 5.1.2600, Service Pack 1
[07/27/2007, 18:28:58] -  Current Username: GTLAGAFFE (Admin)
[07/27/2007, 18:28:58] -  Windows is in NORMAL mode.
[07/27/2007, 18:28:58] - Searching for Browser Helper Objects:
[07/27/2007, 18:28:58] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[07/27/2007, 18:28:58] - Finished Searching Browser Helper Objects
[07/27/2007, 18:28:58] - Finishing up...
[07/27/2007, 18:28:58] - Nothing found! Exiting...

Enfin un log HiJackThis
Logfile of HijackThis v1.99.1
Scan saved at 18:36:18, on 27/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.be/ALDI_BF/home.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Ensuite il a fallu compléter le téléchargement AVAST par mise à jour des virus. Je ne pouvais pas le faire avant exécution de ta procédure... Ce téléchargement complémentaire qui dure environ 1/2H sur modem 56K était interrompu par le trojan dialer, qui coupait la com pour former un N°telephone à lui.
Après exec de ta procédure, j'ai pu télécharger "succesfullly" AVAST .
 Question: Un prog de reprise de téléchargement m'aurait permis de reprendre la suite du téléchargement de AVAST et non comme j'ai eu de repartir à zéro avec le téléchargement. 

J'ai encore d'autres questions mais je te laisse parler.
Je vais boire une (ou plus) tasse de café.

raleuboleu · Answer

re

ok le compte a rebour est parti lol

gtlagaffe · Answer

Salut,
L'auto dialer rôde encore. Il se manifeste chaque fois pendant les sessions PC.
Le N° qu'il forme n'est pas valide.  J'ai fait copie écran du gest.Tâches pendant et après fonctionnement dialer. C'est  win5e.tmp.exe.  En recherchant dans PC win5e, trois resulats.
win5e.tmp.exe dans c:\WINDOWS\Temp
win5e.tmp dans C:\WINDOWS\Temp
WIN5E.TMP.EXE-29622E82.pf dans C:\WINDOWS\Prefetch

En recherchant win5*, je trouve un tas de fichiers temporaires dans C:\WINDOWS\Temp commencant tous par win5. + le même fichier pf danswin\Prefetche et 2 fichies win5* dans le dossier backups

Scan individuel avec AVG antispy des trois fichiers dans dossier Temp
win51.tmp.exe pas de problème à signaler 
win5E.tmp.exe Euristic.Win32.Dialer Effacer?
win59.tmp.exe Euristic.Win32.Dailer Effacer?

Le scan spyware me demande d'éliminer (Euristic.Win32.Dialer) après avoir soumis à un spécialiste. Je t'en fait donc rapport.
Bonne journée

raleuboleu · Answer

salut

toujours meme souci ?

tu devrais passer a firefox pour surfer (ne pas virer internet explo surtout)

pour les lignes que tu me demande, jme renseigne, veut pas te dire n'importe quoi ^^

bizoux

gtlagaffe · Answer

Salut, 
Oui,toujours la même chose mais je m'affole pas.
En cherchant sur le site sur base de certains mots (win5) je suis tombé sur une discus longue comme la traité de la constitution européenne et ... tout aussi incrompréhensible
http://www.commentcamarche.com/forum/affich-1312070-win32-trojan-gen-upx-recurrent
Il faudrait extraire le jus de cette discussion.
Je pense que mon souci va dans le même sens.
Mais je garde le morale. Le WE est annoncé ensoleillé.

Je te réexpédie un ptit scan?

Bien à Toi

raleuboleu · Answer

salut

veux bien oui stp

merci

gtlagaffe · Answer

Salut Raleboleu,

voici le scan hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 20:32:38, on 3/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32
otepad.exe
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forums.commentcamarche.net/forum/topics/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

qu'est ce qu'on fait?
GTL@gaffe

raleuboleu · Answer

remoi


**mets ton internet explo a jour par windows update

je vais demander a une personne de voir ou je vois pas lol t'as compris?oui hein allez assure lol

pendant ce temps met internet explo a jour 

jre 

bizoux

^^Marie^^ · Answer

Slt

Essaie ce qui suit

C -  Ccleaner :
 (nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc.) 
Télécharge ici : 
https://www.ccleaner.com/ccleaner/download 
Tutorial ici: 
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 
ET
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

D – Ewido – AVG 
AVG Anti-Spyware : 
https://www.avg.com/en-ww/free-antivirus-download 
Tu l'installes. 
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. 
Patiente! 
Lance AVG Anti-Spyware 
Clique sur le bouton Analyse (de la barre d'outils) 
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. 
Reviens à l'onglet Analyse. Clique sur Analyse complète du système. 
/!\ Si un fichier est infecté en fin d'analyse /!\
choisis l'option " Appliquer toutes les actions " en bas. 
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous" 
Enregistre ce fichier texte sur ton bureau.
Copie/colle le rapport

raleuboleu · Answer

Re

merci Marie ^^ et bizoux

moK´s@ · Answer

salut a vous trois,

on attends le rapport de avg...

et puis faire anlalyser ceci sur virus total :

O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe

@+

raleuboleu · Answer

salut

merci de votre aide ^^ vraiment!!!


ben oui on attend alors .............................lol

bizoux

gtlagaffe · Answer

Salut Raleuboleu, Marie et Moks@,

Ouaip, vraiment sympa de vous pencher sur mon problème.

voici mon rapport AVG ou je retrouve  à nouveau mes p'tit win5 qui ont été se fourrer dans des endroits pas possibles.


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	22:54:38 6/08/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\GTLAGAFFE\Local Settings\Temporary Internet Files\Content.IE5\ILLQRLDH\srvsnb[1].exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\Documents and Settings\GTLAGAFFE\Mes documents\AA03T07\SdFiX3\SDFix\backups\backups.zip/backups/win52.tmp.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\Documents and Settings\GTLAGAFFE\Mes documents\AA03T07\SdFiX3\SDFix\backups\backups.zip/backups/win55.tmp.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\Documents and Settings\GTLAGAFFE\Mes documents\AA03T07\SdFiX3\SDFix\backups\backups.zip/backups/win7B8.tmp.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\Temp\win2BA.tmp.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\Documents and Settings\programmation\Cookies\programmation@sexlist[1].txt -> TrackingCookie.Sexlist : Nettoyé.


Fin du rapport

Je fais appel à l'équipe
Merci d'avance pour votre temps passé .

J'ai bien noté Raleuboleu, je procède maintenant à l'upgrade IE6 .

raleuboleu · Answer

re vous tous ^^

apparement tout est nettoyé mais que constate tu de ton côté?

je laisse la parole euh l'écriture aux zamis ^^

bizoux

euh poste 1 rapport hijack si possible^^

gtlagaffe · Answer

Ok rapport Hijack va suivre dans le1/4 heure mais...

le dialer vient encore de se manifester

Comme dans la (longue) discussion , AVG détecte, élimine mais le mal s'auto-resucite
http://www.commentcamarche.com/forum/affich-1312070-win32-trojan-gen-upx-recurrent

Ah ah.. c'est le retour de La Malédiction

Aidez- moi...

J'étouffe....

Rhaaaaa.....

(Y a-t-il un exorciste dans ce forum?)

@+

gtlagaffe · Answer

Un log Hijack tout frais...

Logfile of HijackThis v1.99.1
Scan saved at 23:59:47, on 6/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forums.commentcamarche.net/forum/topics/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Pour ce qui est Service Pack 2, ce sera pour demain: je le chargerai en haut débit et puis gravé sur CDROM il sera plus digeste.

Dis-moi ,Moks@,t'as des nouvelles ?  pour:
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe 

Bonne nuit.

raleuboleu · Answer

re

ok zennnnnnnnnnnnnnnnnnnnnnnnnnnnn 


attends les autress reponses et sinan dait le en mode ss échec, deconnecte toi total d'internet

mais avant tout atend d'autres reponses ok!!!!!!!!!!!!

kiss

moK´s@ · Answer

salut a vous trois,

gtlagaffe,

en faite je n´ai pas de nouvelle pour ipsurpte.exe car c´est toi qui doit nous en donner :

tu fais comme ceci :

va sur ce site :

https://www.virustotal.com/gui/

et fais analyser ceci :

C:\ipsurpte.exe

ps : je ne voie pas le chemin complet alors fais une recherche avec windows avant de te rendre sur le site et de l´uploader, pour cela je pense que va devoir rendre les fichiers et dossiers cachés apparant, 
comme ceci : 

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer ! 

puis tu va uploader le fichier sur virus total et tu post le rapport généré.

2

Sélectionne ceci :
_____________________
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winmqx32

Files to Delete:
C:\WINDOWS\SYSTEM32\winmqx32.dll 
------------------------------

tu le selectionne sans la barre et tirets, 

--> Clic droit copier 

Ouvre le Bloc-Note et clic sur le menu Edition/Coller afin de coller le contenu qui est dans le cadre ci-dessus
- Enregistre le fichier sur ton bureau sous le nom remove.txt

- Télécharge The Avenger :

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

- Dézip le contenu de l'archive sur ton bureau et double-clic sur avenger.exe
- Clique sur "Ok"
- Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
- Sélectionne le fichier remove.txt qui est sur ton bureau
- Clique sur le feu vert pour lancer le script
- Clique sur "Oui"
- Accepte de redémarrer ton pc.

Quand le PC a redémarre ouvre le fichier C:\avenger.txt et copie/colle le contenu ici.

ansi qu´un nouveau hijack this

@+

raleuboleu · Answer

salut vous^^

merci de ton intervention MOk zut attent mok's@ ouala alala 

bizoux

gtlagaffe · Answer

Salut Raleuboleu, salut Mok's@

Merci pour ton aide Moks, 
Activ dossiers cachés OK, Decoch "Masquer fichiers protégés..." OK, Appliquer
Cependant je ne trouve pas ipsurpte dans C:/  en utilisant l'outil rechercher de l'explo windows. 

rapport AVENGER et HIJACKTHIS dans 15min


J'aibiencompris de copier le texte entre barre et série de tirets et de coller dans un fichier  nommé remove.txt  ensuite suivre procédure

A Tout'

moK´s@ · Answer

ok post les rapports...

gtlagaffe · Answer

Ci dessouslerapportAvenger...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\faijxlpr

*******************

Script file located at: \??\C:\aqpkefon.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\winmqx32.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winmqx32 deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Et le log Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:21:13, on 7/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

https://forums.commentcamarche.net/forum/topics/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program 

Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers 

communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" 

/minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft 

Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead 

PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe 

(file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - 

{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - 

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program 

Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - 

http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - 

http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program 

Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil 

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil 

Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil 

Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG 

Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program 

Files\Canon\CAL\CALMAIN.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - 

C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - 

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

moK´s@ · Answer

re,

ok avanger a bien marché

peux tu coller le rapport hijack this a nouveau stp, car la il est illisible...

comme celui la :

Logfile of HijackThis v1.99.1
Scan saved at 23:59:47, on 6/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forums.commentcamarche.net/forum/topics/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

moK´s@ · Answer

ps : je reviens demain...

gtlagaffe · Answer

Oops, désolé
Maintenant j'ai supprimé le retour à la ligne automatique dans wordpad avant de copier
mais il reste encore le retour à la ligne lié au dimensionnement automatique de la fenêtre de réponse CCM
Je reposte le même Log Hijack après un reboot sur un écran 1024x... Pour voir si fenêtre CCM s'agrandit
(pas decurseur verticaldispo en dessous de la fenêtre de message CCM)

n.b: Après exécution Avenger  et jusqu'a présent le dialer ne s'est plus manifesté

En ce qui concerne, SP2, il est sur CD, et attend d'être goulument avalé par mon PC

En attendant  je vous souhaite la bonne nuit et n'oublie pas de vous remercier pour tout ce temps déjà consacré.


Logfile of HijackThis v1.99.1
Scan saved at 22:21:13, on 7/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forums.commentcamarche.net/forum/topics/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

gtlagaffe · Answer

Re-Salut ,
maintenant que j'ai rebooté, mes posts ont l'air, pense-je, plus présentables et...
toujours pas de dialer à l'horizon (...attendons demain!)

Je vous la souhaite bonne et profitable...la nuit

moK´s@ · Answer

salut gtlagaffe,

bon ca a l´air bien mais pour verifier fais ceci :

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

puis un scan en ligne : je sais c´est long mais...

https://www.bitdefender.com/toolbox/

Clique sur "I agree" et suis la manip.

a la fin du scan post l´intégralité du rapport ici 

@+

gtlagaffe · Answer

Salut MoK's@,

Bien Recu,

Impression de ta procédure et je m'exécute.

Dis-moi si tu veux bien  le meilleur moment pour exécuter le Service Pack 2.
Ensuite je me lancerai dans l'instal de firefox, je l'ai déjà installé sur un autre pc, et c'était nickel, pas un problème, pas un plantage, installation de firefox vraiment bien conçue.  Mais ça sera pour plus tard.
Ma crainte va plutôt sur l'install de SP2, on verra, fera l'objet d'une autre discussion.

IMPORTANT:  Le dialer ne s'est plus manifesté depuis hier soir. Encore mes plus fraternels remerciements pour ton aide. 
Sans oublier notre amis Raleuboleu qui a engagé la discus avec moi.
@+

moK´s@ · Answer

re,

fais d´abord clean et post le rapport 

mais il faudrait passer bitdefender comme ca une fois que l´on sera sur que tout est ok tu pourras installer le sp2 et firefox...

je t´indiquerais aussi deux trois résidents qui t´aiderons a te protéger, rappel le moi toute fois (,-)) en fin de procedure.

gtlagaffe · Answer

Bonsoir,
Voici le rapport Clean
 mer. 08/08/2007 a 21:02:52,48 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\install.exe FOUND 
C:\WINDOWS\Temp\win????.tmp.exe FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport ! 

et le rapport bitdefender on line, mais (petit) problème...

...je n'arrive pas a tenir la communication durant le chargement de ttes les signatures (30% environ)
Voici le scan avec 30% des signatures téléchargées

--------------------------------------------------------------------
Fichier analysé
Statut
C:\hawa.chm=>/d_hawa.exe	Infecté par: GenPack:Trojan.Dialer.CE
C:\hawa.chm=>/d_hawa.exe	Echec de la désinfection
C:\hawa.chm=>/d_hawa.exe	Supprimé
C:\hawa.chm			Echec de la mise à jour
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP96\A0040336.exe 	->Suspecté de: BehavesLike:Trojan.Downloader
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP96\A0040336.exe 	->Echec de la désinfection
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP96\A0040336.exe	->Supprimé
-------------------------------------------------------------------

... bonne analyse, bonne nuit.

@+

moK´s@ · Answer

re,

Redémarre en mode sans échec  : 

¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5) 

Puis ouvre le dossier clean et ouvre clean.cmd et choisis l'option 2.
Redémarre normalement et poste le log clean. 

et 


* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe     

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 


NOTE : Le rapport se trouve également ici : C:\Combofix.txt

bonne nuit ;-)

gtlagaffe · Answer

Bonsoir,
L'exécution de cette procédure c'est bien déroulée
Rapport clean

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec jeu. 09/08/2007 a 21:43:07,21

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\install.exe
tentative de suppression de C:\WINDOWS\Temp\win????.tmp.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Et RapportCombofix

ComboFix 07-08-10 - "GTLAGAFFE" 2007-08-09 21:59:49.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.1.1252.1.1036.18.242 [GMT 2:00]
* Created a new restore point

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\alerter_snow.exe
C:\WINDOWS\system32\drivers\filter.sys

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_RUNTIME

((((((((((((((((((((((((( Files Created from 2007-07-09 to 2007-08-09 )))))))))))))))))))))))))))))))

2007-08-09 21:59 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-29 10:42 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-07-29 10:42 54,936 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-07-29 10:42 42,648 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-07-29 10:42 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-07-29 10:42 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-07-29 10:42 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-07-29 10:42 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-07-29 10:41 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-07-29 10:41 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-07-28 10:05 <REP> d-------- C:\Program Files\icona
2007-07-27 18:18 <REP> d-------- C:\VundoFix Backups
2007-07-27 18:03 <REP> d-------- C:\WINDOWS\ERUNT
2007-07-27 08:37 95,608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-27 08:37 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-27 08:37 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-27 08:37 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-27 08:37 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 08:37 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 08:37 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 08:37 <REP> d-------- C:\Program Files\Alwil Software
2007-07-25 23:50 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-07-25 08:25 <REP> d-------- C:\!KillBox
2007-07-23 19:25 <REP> d-------- C:\Program Files\Navilog1
2007-07-23 08:24 9,463 --a------ C:\dnsbak.reg
2007-07-23 08:23 486,349 --a------ C:\Fixwareout.exe
2007-07-22 16:33 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-07-21 11:30 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-07-21 11:30 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-07-21 03:15 2,359,296 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-07-21 03:15 <REP> dr------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-07-21 03:15 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-07-21 03:15 <REP> dr------- C:\DOCUME~1\ADMINI~1\Favoris
2007-07-21 03:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-07-21 03:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-07-21 03:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-07-21 03:15 <REP> d---s---- C:\DOCUME~1\ADMINI~1\UserData
2007-07-21 03:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-07-21 03:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Real
2007-07-21 03:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Help
2007-07-21 03:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Cyberlink
2007-07-21 03:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Ahead
2007-07-21 03:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\AdobeUM
2007-07-21 02:35 <REP> d-------- C:\DOCUME~1\GTLAGA~1\APPLIC~1\Lavasoft
2007-07-20 21:39 <REP> d-------- C:\WINDOWS\Internet Logs
2007-07-09 01:04 <REP> d-------- C:\Program Files\CCleaner
2007-07-09 00:51 67,000 --a------ C:\DOCUME~1\GTLAGA~1\APPLIC~1\GDIPFONTCACHEV1.DAT

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-09 22:02 13440 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2007-07-22 23:04 2475 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-07-19 21:23 112 --a------ C:\AUTOEXEC.BAT
2007-07-07 12:08 302 --a------ C:\WINDOWS\launcher2856985855.exe
2007-07-07 12:08 293 --a------ C:\WINDOWS\xar5026v7.exe
2007-07-07 12:08 286 --a------ C:\WINDOWS\b2.exe
2002-08-30 12:00:00 94,864 --sha-w C:\WINDOWS\Twain.dll
2002-08-30 12:00:00 46,592 --sha-w C:\WINDOWS\Twain_32.dll
2002-08-30 12:00:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll
2002-08-30 12:00:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll
2002-08-30 12:00:00 323,072 --sh--w C:\WINDOWS\system32\msvcrt.dll
2002-08-30 12:00:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll
2002-08-30 12:00:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll
2002-08-30 12:00:00 10,240 --sh--w C:\WINDOWS\system32\regsvr32.exe

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 15:30]
"Cmaudio"="cmicnfg.cpl" [2004-01-07 16:14 C:\WINDOWS\CMICNFG.CPL]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"PCMService"="C:\Program Files\Home Cinema\PowerCinema\PCMService.exe" [2004-04-05 10:09]
"Dit"="Dit.exe" [2004-04-02 13:31 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 14:05 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 17:15 C:\WINDOWS\CNYHKey.exe]
"USSShReg"="C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe" [1997-11-23 20:16]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 18:49]
"TrustInstaller"="G:\Setup.exe" []
"mwinpcv"="ipsurpte.exe" []
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]

C:\Documents and Settings\GTLAGAFFE\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1996-12-17 01:00:00]
Microsoft Recherche acc‚l‚r‚e.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17 01:00:00]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Album Fast Start.lnk - C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE [2004-07-25 20:06:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\System32\DRIVERS\Cap7134.sys
R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\System32\Drivers\USBCRFT.SYS
R3 cmuda;C-Media WDM Audio Interface;C:\WINDOWS\System32\drivers\cmuda.sys
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\System32\DRIVERS\ctxs51.sys
R3 MxlW2k;MxlW2k;C:\WINDOWS\System32\drivers\MxlW2k.sys
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\System32\DRIVERS\PhTVTune.sys
R3 UKBFLT;UKBFLT;C:\WINDOWS\System32\DRIVERS\UKBFLT.sys
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\System32\drivers\wbscr.sys
R3 XUIF;X10 USB Wireless Transceiver;C:\WINDOWS\System32\Drivers\x10ufx2.sys
S3 DCamUSBGT892x;510FX FAMILYC@M - PC Camera;C:\WINDOWS\System32\Drivers\GT892xV.SYS
S3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\System32\DRIVERS\fetnd5b.sys
S3 gtflt20;gtflt20;C:\WINDOWS\System32\DRIVERS\gtflt20.sys
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\System32\DRIVERS\KS-959.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\System32\DRIVERS\MSIRCOMM.sys
S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\System32\DRIVERS\PRISMA00.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys
S3 X10UIF;%DESCRIPTION%;C:\WINDOWS\System32\Drivers\x10uif.sys

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-09 22:02:38
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-09 22:03:45 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-09 22:03

--- E O F ---

@+

moK´s@ · Answer

salut gtagaffe,

bon,

peux tu réessayé de passer bitdefender on ligne, en espérant qu´il puisse finir...

post le rapport

@+

gtlagaffe · Answer

Bonswaaar!

J'ai finalement chargé le fichiers des signatures au complet (en veillant devant le PC)

Voici le log bitdefender:
Info sur les moteurs
 
Définition virus	690499
 
Version des moteurs	AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)
 
Analyse des plugins	14
 
Archive des plugins	38
 
Unpack des plugins	6
 
E-mail plugins		6
 
Système plugins		1
 


Fichier analysé                                    Statut

C:\!KillBox\startdrv.exe	Infecté par: Trojan.Downloader.Agent.BHR
 
C:\!KillBox\startdrv.exe	Echec de la désinfection
 
C:\!KillBox\startdrv.exe	Supprimé
 
C:\Documents and Settings\GTLAGAFFE\Application Data\Grisoft\AVG Antispyware 7.5\quarantine\filDF8584A4.dat=>(gzip)
 Infecté par: Trojan.Clicker.Agent.GQ
 
C:\Documents and Settings\GTLAGAFFE\Application Data\Grisoft\AVG Antispyware 7.5\quarantine\filDF8584A4.dat=>(gzip)
 Echec de la désinfection
 
C:\Documents and Settings\GTLAGAFFE\Application Data\Grisoft\AVG Antispyware 7.5\quarantine\filDF8584A4.dat=>(gzip)
 Supprimé
 
C:\Documents and Settings\GTLAGAFFE\Application Data\Grisoft\AVG Antispyware 7.5\quarantine\filDF8584A4.dat
 Mis à jour
 
C:\hawa.chm=>/d_hawa.exe	Infecté par: Trojan.Dialer.CE
 
C:\hawa.chm=>/d_hawa.exe	Echec de la désinfection
 
C:\hawa.chm=>/d_hawa.exe	Supprimé
 
C:\hawa.chm			Echec de la mise à jour
 
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP106\A0041303.exe
Infecté par: Trojan.Downloader.Agent.BHR
 
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP106\A0041303.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP106\A0041303.exe
 Supprimé
-----------------------------------------------------------------------------------
Au rapport, l'onglet statistique de bitdefender indique
de 3 virus identifiés, 4 fichiers infectés, 0 fichiers suspects,
0 alertes, 0 fichiers désinfectés, 4 fichiers supprimés 
mais indique "votre ordinateur est toujours infecté!"
 
Merci d'avance pour ton analyse et bonne nuit.

moK´s@ · Answer

salut gtlagaffe,

nettoie tes fichiers temporaires avec ceci : atf cleaner, regarde le tuto...

https://freewares-tutos.blogspot.com/2006/10/atf-cleaner.html

fais ceci :

tes points de restaurations sont infectés !
Fais ceci:
tapes ceci dans Démarrer/Exécuter:
%SystemRoot%\System32\restore\rstrui.exe
Paramètres de restauration/Désactivé la restauration sur tous les lecteurs.
Reboot.
Ensuite refais l'inverse, réactive.

comment faire :

¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique

Va sur ce lien et télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.

gtlagaffe · Answer

Salut moK's@,
D'abord merci pour le suivi que tu apportes.

Exécution ATFCleaner,ensuite desactivation restauration systéme, 
reboot, activation restaur système, telecharge et exec. Blacklight

Voici le rapport Blacklight, message terminal No item Foud

08/11/07 09:45:30 [Info]: BlackLight Engine 1.0.64 initialized
08/11/07 09:45:30 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/11/07 09:45:30 [Note]: 7019 4
08/11/07 09:45:30 [Note]: 7005 0
08/11/07 09:45:33 [Note]: 7006 0
08/11/07 09:45:33 [Note]: 7011 1052
08/11/07 09:45:33 [Note]: 7026 0
08/11/07 09:45:33 [Note]: 7026 0
08/11/07 09:45:35 [Note]: FSRAW library version 1.7.1022
08/11/07 09:50:10 [Note]: 2000 1012
08/11/07 09:50:10 [Note]: 2000 1012
08/11/07 10:03:50 [Note]: 7007 0

Bonne journée, Bon WE... le soleil revient.
@+

moK´s@ · Answer

bon le soleil reviens ;-)

peux tu refaire un scan bit defender stp

@+

gtlagaffe · Answer

Salut moK's@,

Le soleil reviens demain également,

Voici le rapport BitDefender

Info sur les moteurs
 Définition virus 690797
 Version des moteurs AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)
 Analyse des plugins 14
 Archive des plugins 37
 Unpack des plugins 6
 E-mail plugins 6
 Système plugins 1
 
 
 
Fichier analysé
  Statut
 C:\hawa.chm=>/d_hawa.exe Infecté par: Trojan.Dialer.CE
 C:\hawa.chm=>/d_hawa.exe Echec de la désinfection
 C:\hawa.chm=>/d_hawa.exe Supprimé
 C:\hawa.chm Echec de la mise à jour

Hawa joue à l'incrust' !!!?

Bonne soirée

moK´s@ · Answer

salut gtlagaffe,

oui le soleil est bien la, et hawa aussi ??? on l´a deja supprimé !!!???

fais ceci :

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer ! 

et recherche dans c:\ si tu le voie encore ce foutu dossier :

C:\hawa.chm=>/d_hawa.exe

gtlagaffe · Answer

Salut MoK's@,

Oui, Hawa.chm est bien à sa place sur le repertoire racine C:\
Taille 19.797octets, taille /disque 20.480 octets,
crée le 10/09/2004 dernier accès le 12aout2007 22.55.46 càd quand j'ai allumé le pc ou lancé IE

@+

moK´s@ · Answer

salut gtlagaffe,

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

C:\hawa.chm
C:\d_hawa.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

@+

gtlagaffe · Answer

Salut MoK's@, 

T'as passé une bonne journée?
Moi ça va, surtout qu'il y a eu du soleil (hein dis! je suis en manque)

Voici le rapport  OTMoveIt
C:\hawa.chm moved successfully.
File/Folder C:\d_hawa.exe not found.
 
Created on 08/13/2007 21:00:41

Qu'est ce que cela veut dire  ce qui est indiqué dans le rapport BitDef
C:\hawa.chm=>/d_hawa.exe

Si je fait une recherche sur c:  de d_hawa.exe, l'explorateur ne trouve rien
Sur d: backup non plus et même pas en recherche étendur (fichiers caché fichiers système)

????
@+

moK´s@ · Answer

salut gtlagaffe,

oui ca va pour la bonne journée ;-) ici c´est la canicule totale...

c´est vrai que dans le rapport bitdefender c´est pas tres claire...

peux tu faire ca avec ot move it :

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

D:\hawa.chm
D:\hawa.exe
C:\hawa.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

@+

gtlagaffe · Answer

Salut MoK's@,

Un petit BitDef  avant d'effectuer un second MoveIt

BitDefender Online Scanner
Rapport d'analyse généré à: Tue, Aug 14, 2007 - 22:19:23
Fichier analysé                                                                                       Statut
 
C:\_OTMoveIt\MovedFiles\hawa.chm=>/d_hawa.exe            Infecté par: Trojan.Dialer.CE
 
C:\_OTMoveIt\MovedFiles\hawa.chm=>/d_hawa.exe            Echec de la désinfection
 
C:\_OTMoveIt\MovedFiles\hawa.chm=>/d_hawa.exe            Supprimé
 
C:\_OTMoveIt\MovedFiles\hawa.chm                                            Echec de la mise à jour

et le rapport du seconde MoveIt!

File/Folder D:\hawa.chm not found.
File/Folder D:\hawa.exe not found.
File/Folder C:\hawa.exe not found.
 
Created on 08/14/2007 22:33:02

De mon côté je part à la pêche sur le net concernant cet hawa et sur CCM recherche Trojan
Bonne fête du 15 août
@+
-------------------------------------------------------
Salut again,
On n'essaierai pas un petit Killbox
http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/trojan-dialer-sujet_17566_1.htm
http://perso.orange.fr/jesses/Docs/Logiciels/KillBox.htm
@+ again

moK´s@ · Answer

salut gtlagaffe,

aspparament apres le passage de otmove it le fichier n´est plus la?

tu le voie toujours?

ps : killbox fait la meme chose que otmove it, mais il faut lui indiqué de désenrregistrer les clés du registre...

@+

darom · Answer

Logfile of HijackThis v1.99.1
Scan saved at 21:06:37, on 18/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Scansoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 17 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lequipe.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl03a\BrStDvPt.exe
O4 - HKLM\..\Run: [sakopuetmh] c:\windows\system32\sakopuetmh.exe sakopuetmh
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1068_em_XP.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97A7F483-EDDC-4C59-9BC0-06525795581C}: NameServer = 84.103.237.146 86.64.145.146
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Infecté par GenPack:Trojan.Dialer.

47 réponses

Votre réponse

Discussions similaires

Newsletters