Comment se débarasser de Win32.Cuter.A & Gene Résolu/Fermé

Question

Bonjour quelqu'un peut il me dire comment se débarrasser de Win32.Cuter.A    Generic.Malware.Fdld.8CE39CF2 (voir d'autres) voir rapport de bitdefender de ce jour:
BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Wed, Aug 22, 2007 - 14:30:22
 
 
  
  
 
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 01:49:57
 
Fichiers
 283801
 
Directoires
 4401
 
Secteurs de boot
 7
 
Archives
 8696
 
Paquets programmes
 10793
 
  
  
 
Résultats
 
Virus identifiés
 17
 
Fichiers infectés
 22
 
Fichiers suspects
 1
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 20
 
  
  
 
Info sur les moteurs
 
Définition virus
 749496
 
Version des moteurs
 AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)
 
Analyse des plugins
 14
 
Archive des plugins
 37
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\WINDOWS\system32\perfc000.dat
 Infecté par: Trojan.Agent.AWX
 
C:\WINDOWS\system32\perfc000.dat
 Echec de la désinfection
 
C:\WINDOWS\system32\perfc000.dat
 Supprimé
 
C:\WINDOWS\system32\winservcs32.dll
 Suspecté de: Generic.Malware.Fdld.8CE39CF2
 
C:\WINDOWS\system32\winservcs32.dll
 Echec de la désinfection
 
C:\WINDOWS\system32\winservcs32.dll
 Echec de la suppression
 
C:\Program Files\Wanadoo\Watch.exe
 Infecté par: Win32.Cuter.A
 
C:\Program Files\Wanadoo\Watch.exe
 Echec de la désinfection
 
C:\Program Files\Wanadoo\Watch.exe
 Echec de la suppression
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Infecté par: Win32.Cuter.A
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Echec de la désinfection
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Echec de la suppression
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
 Infecté par: Trojan.Peed.IFR
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029726.exe
 Infecté par: DeepScan:Generic.Malware.SMYddldoe.23E153E0
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029726.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
 Infecté par: GenPack:Trojan.Peed.NG
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029728.exe
 Infecté par: DeepScan:Generic.Malware.SMYddldoe.23E153E0
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029728.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
 Infecté par: Trojan.Proxy.Xorpix.BH
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
 Infecté par: Trojan.Peed.Gen
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
 Infecté par: GenPack:Trojan.Peed.IET
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
 Infecté par: Trojan.Peed.IFL
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
 Infecté par: Trojan.Peed.Gen
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
 Infecté par: Trojan.Peed.IFS
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
 Infecté par: Trojan.Pandex.H
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029745.exe
 Infecté par: Trojan.Peed.IGD
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029745.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
 Infecté par: Trojan.PWS.LDPinch.TAW
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
 Infecté par: Trojan.Krotten.B
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
 Infecté par: Trojan.Obfuscated.HF
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
 Infecté par: GenPack:Trojan.Patched.Constructor.A
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
 Infecté par: Win32.Cuter.A
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
 Infecté par: GenPack:Trojan.Downloader.Tibs.BS
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
 Supprimé
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
 Infecté par: Trojan.Peed.IFS
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
 Supprimé
 
 
D'avance merci.

green day · Answer

Salut

Télécharge ceci sur ton bureau :

Lien :  hijackthis

Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm 
 
Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.

++

Kokoy · Answer

Voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:04, on 22/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32	askmgr.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\fci.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

green day · Answer

ok,

Télécharge SDFix sur ton bureau 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
Redémarre ton ordinateur en mode sans échec 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script. 
Appuie sur Y pour commencer le processus de nettoyage. 
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
Appuie sur une touche pour redémarrer le PC. 
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

++

Kokoy · Answer

Voici le rapport de SDFix: Version 1.99

Run by Administrateur on 22/08/2007 at 16:12

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\sdfix\SDFix

Safe Mode:
Checking Services: 

Name:
FCI
ICF

ImagePath:
C:\WINDOWS\system32\fci.exe 
C:\WINDOWS\system32\icf.exe 

FCI - Deleted
ICF - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service 
Restoring Missing SharedAccess Service 

Rebooting...

Service asc3550u - Deleted after Reboot

Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\DLLH8J~1.EXE - Deleted
C:\E4.TMP - Deleted
C:\E6.TMP - Deleted
C:\Documents and Settings\Administrateur\Application Data\Install.dat  - Deleted
C:\install\install.exe  - Deleted
C:\WINDOWS\system32\8_exception.nls  - Deleted
C:\WINDOWS\system32\dllh8jkd1q8.exe  - Deleted
C:\WINDOWS\system32\icf.exe  - Deleted


Folder C:\Documents and Settings\All Users\Documents\Settings - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\sdfix\SDFix\backups\backups.zip
Registry Backups: - C:\DOCUME~1\ADMINI~1\Bureau\sdfix\SDFix\backups\backupreg.zip
Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

Files with Hidden Attributes:

C:\WINDOWS\system32\msvc32.dll
C:\WINDOWS\system32\winservcs32.dll
C:\Documents and Settings\Administrateur\Mes documents\TomTom\Telechar\Tomtom - Radars en France au 01-02-2007 (2052 fixes - 3610 mobiles - 1435 feu rouge - 454 zones dangereuses).rar\Thumbs.db

                                 Finished 

Et voici le nouveau log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:34:12, on 22/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

green day · Answer

ok, on continue !

Télécharge clean.zip 
http://www.malekal.com/download/clean.zip 
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
Ouvre le dossier Clean qui se trouve sur ton bureau. 
Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître, choisis l'option 1 
Poste le rapport qui se trouve ici C:\rapport_clean.txt 


ensuite : 

# Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 

Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître, choisis l'option 2
Poste le rapport qui se trouve ici C:\rapport_clean.txt 

++

Kokoy · Answer

Voici le rapport de l'option 1
22/08/2007 a 16:58:11,14 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\perfc000.dat FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\Everest Poker\" FOUND 
*** Fin du rapport ! 

Je redemarre en mode sans echec et passe à l'option 2 et te poste le rapport

++

Kokoy · Answer

et voici le rapport de l'option 2:

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 22/08/2007 a 17:07:51,90 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\perfc000.dat 
 
*** Suppression des fichiers dans C:\Program Files 
tentative de suppression de "C:\Program Files\Everest Poker\" 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

green day · Answer

ok, 

reposte un nouveau hijack stp

++

Kokoy · Answer

Le voici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:26:02, on 22/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32	askmgr.exe
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

green day · Answer

ok,

Télécharge ComboFix (par sUBs) sur le Bureau : http://www.techsupportforum.com/sectools/combofix.exe 

Démarre en mode sans echec 

*  Double clique combofix.exe. 
*  Tape sur la touche Y (Yes) pour démarrer le scan. 
*  Le rapport sera crée dans: C:\Combofix.txt, poste le stp

++

Kokoy · Answer

J'ai téléchargé combofix et en mode sans echec lorsque je double clique il me donne  le message suivante en note:

You have used an invalid url to download ComboFix.exe. Please be advised that these are the correct links to use

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Dois je le télécharger d'une de ces adresses?

++

green day · Answer

Oui !

++

Kokoy · Answer

Voici le rapport de combofix: ComboFix 07-08-17.2 - "Administrateur" 2007-08-22 18:40:01.1 - [color=red][b]FAT32[/b][/color]x86 MINIMAL Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.395 [GMT 2:00] ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\perfc000.dat C:\WINDOWS\system32\winservcs32.dll ((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 ))))))))))))))))))))))))))))))) 2007-08-22 18:38 51,200 --a------ C:\WINDOWS ircmd.exe 2007-08-22 16:10 d-------- C:\WINDOWS\ERUNT 2007-08-22 15:52 d-------- C:\Program Files\Trend Micro 2007-08-22 12:18 d-------- C:\WINDOWS\BDOSCAN8 2007-08-22 09:49 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll 2007-08-22 09:49 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll 2007-08-22 09:49 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-08-22 09:49 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll 2007-08-22 09:49 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll 2007-08-22 09:49 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier 2007-08-22 09:48 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-08-22 09:48 75,248 --a------ C:\WINDOWS\zllsputility.exe 2007-08-22 09:48 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-08-22 09:48 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-08-22 09:48 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys 2007-08-22 09:48 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-08-22 09:48 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll 2007-08-22 09:48 d-------- C:\WINDOWS\system32\ZoneLabs 2007-08-22 09:46 d-------- C:\WINDOWS\Internet Logs 2007-08-22 09:36 d-------- C:\WINDOWS\RegisteredPackages 2007-08-21 17:16 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy 2007-08-21 13:45 8,176 --a------ C:\WINDOWS\system32\ati2ksag.sys 2007-08-21 13:45 3,335 -rahs---- C:\WINDOWS\system32\msvc32.dll 2007-08-21 13:43 591 --a------ C:\WINDOWS\system32\hrpdcf.bin 2007-07-27 11:56 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TomTom 2007-07-27 11:55 d-------- C:\Program Files\TomTom HOME 2007-07-27 11:54 d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\InstallShield 2007-07-24 14:23 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\NCH Swift Sound 2007-07-24 14:22 d-------- C:\Program Files\NCH Swift Sound 2007-07-24 14:22 d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\NCH Swift Sound 2007-07-22 09:17 d--hs---- C:\FOUND.002 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-22 18:35 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-07-19 11:11 --------- d-------- C:\Program Files\Player Tool 2007-07-19 09:05 --------- d-------- C:\Program Files\Virtools 2007-06-26 12:39 --------- d-------- C:\Program Files\Alwil Software 2007-06-24 21:08 --------- d-------- C:\Program Files\Samsung 2007-06-22 13:33 --------- d-------- C:\Program Files\VIA Technologies, Inc 2007-06-07 15:38 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2006-02-19 03:28 12288 --a------ C:\WINDOWS\Fonts.\RandFont.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "WireLessMouse"="C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe" [2005-11-30 12:48] "WOOWATCH"="C:\PROGRA~1\WANADOO\Watch.exe" [2004-08-23 14:49] "WOOTASKBARICON"="C:\PROGRA~1\WANADOO\GestMaj.exe" [2004-10-14 16:55] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41] "Install.exe"="C:\WINDOWS\svchost.exe" [] "SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe] "avast!"="C:\Program Files\Alwil Software\Avast4\ashDisp.exe" [2007-07-28 00:03] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "TomTomHOME.exe"="C:\Program Files\TomTom HOME\TomTomHOME.exe" [2007-03-14 16:52] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MoneyAgent"="C:\Program Files\Microsoft Money\System\mnyexpr.exe" [2002-07-17 11:00] "WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 14:50] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22] D‚marrage rapide de HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 07:56:20] R3 FETNDIS;Pilote NT de carte VIA PCI 10/100Mo Fast Ethernet;C:\WINDOWS\system32\DRIVERS\fetnd5.sys R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys S2 cb28868532;Mi040324t Windows Browser Servce;C:\WINDOWS\System32\svchost.exe -k netsvcs S2 sb15342732;Wi031670Shell Control Servic;C:\WINDOWS\System32\svchost.exe -k netsvcs S3 driverhardwarev2;driverhardwarev2;\??\C:\Program Files\HardwareDetection\driverhardwarev2.sys S3 GMSIPCI;GMSIPCI;\??\H:\INSTALL\GMSIPCI.SYS S3 NTACCESS;NTACCESS;\??\H:\NTACCESS.sys S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys S3 SetupNTGLM7X;SetupNTGLM7X;\??\H:\NTGLM7X.sys S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs cb28868532 sb15342732 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc869cc6-3c27-11dc-82ec-00032f33db2c}] AutoRun\command- I:\InstallTomTomHOME.exe Contents of the 'Scheduled Tasks' folder 2007-08-18 22:01:02 C:\WINDOWS\Tasks\At1.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-18 18:19:30 C:\WINDOWS\Tasks\At2.job 2007-08-18 18:19:30 C:\WINDOWS\Tasks\At3.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-18 18:19:30 C:\WINDOWS\Tasks\At4.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-18 18:19:30 C:\WINDOWS\Tasks\At5.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-18 18:19:30 C:\WINDOWS\Tasks\At6.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-18 18:19:30 C:\WINDOWS\Tasks\At7.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-18 18:19:30 C:\WINDOWS\Tasks\At8.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-18 18:19:30 C:\WINDOWS\Tasks\At9.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 07:01:02 C:\WINDOWS\Tasks\At10.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 08:01:02 C:\WINDOWS\Tasks\At11.job 2007-08-22 09:01:02 C:\WINDOWS\Tasks\At12.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 10:01:02 C:\WINDOWS\Tasks\At13.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 11:00:02 C:\WINDOWS\Tasks\At14.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 12:00:02 C:\WINDOWS\Tasks\At15.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 13:00:02 C:\WINDOWS\Tasks\At16.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 14:00:02 C:\WINDOWS\Tasks\At17.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 15:00:02 C:\WINDOWS\Tasks\At18.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-22 16:00:02 C:\WINDOWS\Tasks\At19.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-21 17:01:02 C:\WINDOWS\Tasks\At20.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-21 18:01:02 C:\WINDOWS\Tasks\At21.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-21 19:01:02 C:\WINDOWS\Tasks\At22.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-21 20:01:02 C:\WINDOWS\Tasks\At23.job - C:\WINDOWS\system32\17KN13Gs.exe 2007-08-20 21:01:02 C:\WINDOWS\Tasks\At24.job - C:\WINDOWS\system32\17KN13Gs.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-22 18:52:14 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-22 18:54:13 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-08-22 18:54 --- E O F --- ++

green day · Answer

ok,
          o Prendre connaissance du contenu du lien suivant: http://www.f-secure.com/products/license-terms/eult_fra.pdf
          o Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
          o Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
          o Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
          o Faire un clic droit sur navilog1.zip et choisir "tout extraire"
          o Double-cliquez sur navilog1.bat
          o Arriver au menu principal, choisir l'option 1 et valider.
          o Patientez jusqu'au message : Analyse Termine le ...
          o Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt), poste le stp

++

Kokoy · Answer

Le voici:

Search Navipromo version 2.0.9 commencé le 22/08/2007 à 19:32:24,12
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/22/07 at 19:32:26.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/22/07 at 19:32:56 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 22/08/2007 à 19:33:16,09 ***

green day · Answer

ok, poste un nouveau hijack et précise l'évolution de la situation stp

++

Kokoy · Answer

Le kijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39, on 22/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

green day · Answer

ok, fais ce qui est indiqué ici stp

virus methode preliminaire de desinfection version fr

++

Kokoy · Answer

Me revoila,
Voici le rapport de bitdefender:
BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Thu, Aug 23, 2007 - 11:27:08
 
 
  
  
 
Voie d'analyse: C:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 00:34:24
 
Fichiers
 149418
 
Directoires
 3397
 
Secteurs de boot
 7
 
Archives
 8219
 
Paquets programmes
 6819
 
  
  
 
Résultats
 
Virus identifiés
 2
 
Fichiers infectés
 3
 
Fichiers suspects
 2
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 3
 
  
  
 
Info sur les moteurs
 
Définition virus
 749615
 
Version des moteurs
 AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)
 
Analyse des plugins
 14
 
Archive des plugins
 37
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Program Files\Wanadoo\Watch.exe
 Infecté par: Win32.Cuter.A
 
C:\Program Files\Wanadoo\Watch.exe
 Echec de la désinfection
 
C:\Program Files\Wanadoo\Watch.exe
 Echec de la suppression
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Infecté par: Win32.Cuter.A
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Echec de la désinfection
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Echec de la suppression
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0030025.dll
 Suspecté de: Generic.Malware.Fdld.8CE39CF2
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0030025.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0030025.dll
 Supprimé
 
C:\QooBox\Quarantine\C\WINDOWS\system32\winservcs32.dll.vir
 Suspecté de: Generic.Malware.Fdld.8CE39CF2
 
C:\QooBox\Quarantine\C\WINDOWS\system32\winservcs32.dll.vir
 Echec de la désinfection
 
C:\QooBox\Quarantine\C\WINDOWS\system32\winservcs32.dll.vir
 Supprimé
 
C:\QooBox\Quarantine\C\WINDOWS\system32\perfc000.dat.vir
 Infecté par: Trojan.Agent.AWX
 
C:\QooBox\Quarantine\C\WINDOWS\system32\perfc000.dat.vir
 Echec de la désinfection
 
C:\QooBox\Quarantine\C\WINDOWS\system32\perfc000.dat.vir
 Supprimé
 
  Et voici le hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
G:\emule\emule.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

green day · Answer

Salut

C:\Program Files\Wanadoo\Watch.exe
Infecté par: Win32.Cuter.A

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Infecté par: Win32.Cuter.A 

on voit que ce sont deux fichiers plutôt important qui sont infectés !

 fais un clic droit sur chacun d'eux, et scan les avec avast !

poste le rapport si possible

++

Kokoy · Answer

Avast ne détecte rien mais Kapersky et bitdefender oui mais avec un nom légerement différents:

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
Infecté par: Win32.Cuter.A pour bit défender et Trojan.Win32.Patched.af pour Kapersky

Idem pour C:\Program Files\Wanadoo\Watch.exe 

++

green day · Answer

Salut

# Télécharge ceci: (merci a S!RI pour ce petit programme). 

 http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, 
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php 
il va générer un rapport : copie/colle le sur le poste stp.


++

Kokoy · Answer

Voila le rapport:

SmitFraudFix v2.216

Rapport fait à  0:10:56,07, 25/08/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\WANADOO\WOOBRO~1\DownloadManager.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11 USB Wireless LAN Adapter #4 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

++

Kokoy · Answer

En plus j'ai avast qui me signal un cheval de troie et que je choisisse de le mettre en quanrantaine ou de le supprimer il me dit qu'il ne peut pas y acceder ou qu'il est utilisé par un autre processus!!
C'est Win32-Agent-KCT {Trj]

++

green day · Answer

ok,

# Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
---------------------------------------------------------------------------- 
# Relance le programme Smitfraud :
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum 

et poste un nouveau hijack stp

++

Kokoy · Answer

Voici le rapport smit:
SmitFraudFix v2.216

Rapport fait à  0:51:20,06, 25/08/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1       localhost
192.168.1.11 HP0019BBF3C897

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\Tasks\At?.job supprimé
C:\WINDOWS\Tasks\At??.job supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Le hitjack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:59, on 25/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

green day · Answer

oui, c'est normal l'écran bleu, il suffit de remettre ton fond d'ecran !

 ce qui me chagrine, c'est que les fichiers touchés sont assez sensibles :/

http://www.virustotal.com/xhtml/virustotal_en.html 

tu cliques sur le bouton parcourir, tu sélectionnes le fichier Watch.exe  et tu cliques sur Send. 

C:\Program Files\Wanadoo\Watch.exe 

de même pour :

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 

et poste les rapport stp

++

Kokoy · Answer

Fichier HPWuSchd2.exe reçu le 2007.08.25 01:21:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 16/32 (50%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.8.25.0 2007.08.24 Win32/Duel.B 
AntiVir 7.4.1.63 2007.08.24 HEUR/Malware 
Authentium 4.93.8 2007.08.24 - 
Avast 4.7.1029.0 2007.08.24 - 
AVG 7.5.0.484 2007.08.24 Win32/PEPatch 
BitDefender 7.2 2007.08.25 Win32.Cuter.A 
CAT-QuickHeal 9.00 2007.08.23 W32.Luder.C 
ClamAV 0.91 2007.08.24 W32.Cuter 
DrWeb 4.33 2007.08.25 Trojan.Inject.351 
eSafe 7.0.15.0 2007.08.23 - 
eTrust-Vet 31.1.5085 2007.08.24 - 
Ewido 4.0 2007.08.24 - 
FileAdvisor 1 2007.08.25 - 
Fortinet 2.91.0.0 2007.08.24 - 
F-Prot 4.3.2.48 2007.08.24 - 
F-Secure 6.70.13030.0 2007.08.24 Trojan.Win32.Patched.af 
Ikarus T3.1.1.12 2007.08.25 - 
Kaspersky 4.0.2.24 2007.08.24 Trojan.Win32.Patched.af 
McAfee 5105 2007.08.24 W32/Resourcer 
Microsoft 1.2803 2007.08.24 - 
NOD32v2 2483 2007.08.24 Win32/Agent.AB 
Norman 5.80.02 2007.08.24 - 
Panda 9.0.0.4 2007.08.24 W32/ZlFake.A 
Prevx1 V2 2007.08.25 - 
Rising 19.37.42.00 2007.08.24 Virus.Win32.Agent.b 
Sophos 4.21.0 2007.08.24 - 
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious 
Symantec 10 2007.08.25 - 
TheHacker 6.1.8.172 2007.08.24 - 
VBA32 3.12.2.3 2007.08.24 - 
VirusBuster 4.3.26:9 2007.08.24 Trojan.Patched.S 
Webwasher-Gateway 6.0.1 2007.08.24 Heuristic.Malware 
Information additionnelle 
File size: 57344 bytes 
MD5: beddecebef4f60cde0fba002af6cfa83 
SHA1: 6b34110b4da901842450b12b4c387efae98c278f 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. 



Fichier Watch.exe reçu le 2007.08.25 01:20:33 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 16/32 (50%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 48 et 68 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.8.25.0 2007.08.24 Win32/Duel.B 
AntiVir 7.4.1.63 2007.08.24 HEUR/Malware 
Authentium 4.93.8 2007.08.24 - 
Avast 4.7.1029.0 2007.08.24 - 
AVG 7.5.0.484 2007.08.24 Win32/PEPatch 
BitDefender 7.2 2007.08.25 Win32.Cuter.A 
CAT-QuickHeal 9.00 2007.08.23 W32.Luder.C 
ClamAV 0.91 2007.08.24 W32.Cuter 
DrWeb 4.33 2007.08.25 Trojan.Inject.351 
eSafe 7.0.15.0 2007.08.23 - 
eTrust-Vet 31.1.5085 2007.08.24 - 
Ewido 4.0 2007.08.24 - 
FileAdvisor 1 2007.08.25 - 
Fortinet 2.91.0.0 2007.08.24 - 
F-Prot 4.3.2.48 2007.08.24 - 
F-Secure 6.70.13030.0 2007.08.24 Trojan.Win32.Patched.af 
Ikarus T3.1.1.12 2007.08.25 - 
Kaspersky 4.0.2.24 2007.08.24 Trojan.Win32.Patched.af 
McAfee 5105 2007.08.24 W32/Resourcer 
Microsoft 1.2803 2007.08.24 - 
NOD32v2 2483 2007.08.24 Win32/Agent.AB 
Norman 5.80.02 2007.08.24 - 
Panda 9.0.0.4 2007.08.24 W32/ZlFake.A 
Prevx1 V2 2007.08.25 - 
Rising 19.37.42.00 2007.08.24 Virus.Win32.Agent.b 
Sophos 4.21.0 2007.08.24 - 
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious 
Symantec 10 2007.08.25 - 
TheHacker 6.1.8.172 2007.08.24 - 
VBA32 3.12.2.3 2007.08.24 - 
VirusBuster 4.3.26:9 2007.08.24 Trojan.Patched.S 
Webwasher-Gateway 6.0.1 2007.08.24 Heuristic.Malware 
Information additionnelle 
File size: 28672 bytes 
MD5: 6211ee4f7ad0ca042422e8c6ff877bb2 
SHA1: 0d4d50ca352590267af855afd66899c084271e85 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. 


Alors??

Kokoy · Answer

je me couche!!!
Donne moi la marche à suivre je te répondrais ce week!!!

Merci de ton zide deouis le début.

++

green day · Answer

Le problème, c'est que je ne pense pas que l'on puisse les supprimer ... faut voir !

 je te tiens au courant !

@+

Séb08 · Answer

slt,

de ou as tu installé ces fichiers ?

C:\Program Files\Wanadoo\Watch.exe


C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

désinstalle Flashget (C:\PROGRAm FILES\FLASHGET) , via ajout/supression de programmes, il contient un spyware ...

================================

Télécharge et installe ce log :

*  AVG AS 

AVG anti spyware
avg antispyware
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici


A+

green day · Answer

Bien contente de te revoir par ici ;-)

Kokoy · Answer

J'ai desinstallé Flashget et voici le rapport d'AVG

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	12:33 25/08/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ilead.itrack[1].txt -> TrackingCookie.Itrack : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport

Par contre depuis hier soir j'ai un Cheval de Troie Win32:Agent-KCT [Trj] qui est détecté par avast mais qui n'arrive pas à le supprimer ou le mettre en quarantaine, j'ai message qui m'indique qu'il ne peut pas acceder au fichier car il est utilisé par un processus et le redetecte à nouveau et ainsi de suite.
La localisation du fichier donné par avast je ne le trouve pas sur mon pc!!!!

++ et merci

green day · Answer

Salut

il jour a cache-cache :) ...  il y a du rootkit dans l'air à mon avis 

télécharge rootkit unhooker

tu vas dans l'onglet : "hidden processes detectro", tu lances un scan et poste le rapport stp

@+

Kokoy · Answer

J'ai pas trouvé l'onglet : "hidden processes detectro" j'ai été dans report et j'ai lancé un scan, c'est bon???

LE voila

>SSDT State
NtClose
Actual Address 0xF84FB028
Hooked by: a347bus.sys

NtConnectPort
Actual Address 0xF68D2EB0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateFile
Actual Address 0xF68CF870
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateKey
Actual Address 0xF68DA700
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreatePagingFile
Actual Address 0xF84EEB00
Hooked by: a347bus.sys

NtCreatePort
Actual Address 0xF68D3270
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateWaitablePort
Actual Address 0xF68D3350
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtDeleteFile
Actual Address 0xF68CFEF0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtDeleteKey
Actual Address 0xF68DB720
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtDeleteValueKey
Actual Address 0xF68DB360
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtEnumerateKey
Actual Address 0xF84EF5DC
Hooked by: a347bus.sys

NtEnumerateValueKey
Actual Address 0xF84FB120
Hooked by: a347bus.sys

NtLoadKey
Actual Address 0xF68DBA60
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtOpenFile
Actual Address 0xF68CFD40
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtOpenKey
Actual Address 0xF84FAFA4
Hooked by: a347bus.sys

NtOpenProcess
Actual Address 0xF8B018AC
Hooked by: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

NtQueryKey
Actual Address 0xF84EF5FC
Hooked by: a347bus.sys

NtQueryValueKey
Actual Address 0xF84FB076
Hooked by: a347bus.sys

NtRenameKey
Actual Address 0xF68DC1D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtReplaceKey
Actual Address 0xF68DBD50
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtRequestWaitReplyPort
Actual Address 0xF68D2B50
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtRestoreKey
Actual Address 0xF68DC000
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtSetInformationFile
Actual Address 0xF68D0060
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtSetSystemPowerState
Actual Address 0xF84FA550
Hooked by: a347bus.sys

NtSetValueKey
Actual Address 0xF68DAED7
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtTerminateProcess
Actual Address 0xF8B01812
Hooked by: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0x821399EE
Size: 1554
Unknown page with executable code
Address: 0x82139706
Size: 2298
Unknown page with executable code
Address: 0x8213FDE2
Size: 542
Unknown page with executable code
Address: 0x82166D92
Size: 622
>Files
>Hooks
ntfs.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF676DC8C hook handler located in [unknown_code_page]
ntoskrnl.exe-->IoCreateDevice, Type: EAT modification at address 0x80681C70 hook handler located in [unknown_code_page]
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xF69AFFB4 hook handler located in [vsdatant.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xF69AFFD4 hook handler located in [vsdatant.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xF69AFFCC hook handler located in [vsdatant.sys]
tcpip.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF69AFE68 hook handler located in [unknown_code_page]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xF869BB4C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisDeregisterProtocol, Type: IAT modification at address 0xF869BB1C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xF869BB3C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xF869BB28 hook handler located in [vsdatant.sys]
wanarp.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF869BC08 hook handler located in [unknown_code_page]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

green day · Answer

Il est là ;-))

++

Kokoy · Answer

J'ai pas le meme
Et dans l'onglet Process ne génère pas de rapport quand je scan
A moins que ce ne soit ça??

RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.7.300.503
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
Process: System
Process Id: 4
EPROCESS Address: 0x823CA830

Process: C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
Process Id: 440
EPROCESS Address: 0x8162F5B8

Process: C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
Process Id: 468
EPROCESS Address: 0x81632408

Process: C:\WINDOWS\System32\ALG.EXE
Process Id: 496
EPROCESS Address: 0x81602418

Process: C:\WINDOWS\System32\SMSS.EXE
Process Id: 632
EPROCESS Address: 0x821B1DA0

Process: C:\WINDOWS\System32\CSRSS.EXE
Process Id: 896
EPROCESS Address: 0x82243600

Process: C:\WINDOWS\System32\WINLOGON.EXE
Process Id: 920
EPROCESS Address: 0x82261958

Process: C:\WINDOWS\System32\SERVICES.EXE
Process Id: 964
EPROCESS Address: 0x8225C728

Process: C:\WINDOWS\System32\LSASS.EXE
Process Id: 976
EPROCESS Address: 0x82267A38

Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1124
EPROCESS Address: 0x81A68750

Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1168
EPROCESS Address: 0x81A02750

Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1208
EPROCESS Address: 0x81E1A758

Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1256
EPROCESS Address: 0x82183500

Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1332
EPROCESS Address: 0x818A1BC0

Process: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
Process Id: 1492
EPROCESS Address: 0x81891B28

Process: C:\Program Files\Alwil Software\Avast4\ashServ.exe
Process Id: 1564
EPROCESS Address: 0x82217538

Process: C:\WINDOWS\System32\SPOOLSV.EXE
Process Id: 1732
EPROCESS Address: 0x817C5DA0

Process: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
Process Id: 1824
EPROCESS Address: 0x81791B98

Process: C:\WINDOWS\System32\FTRTSVC.exe
Process Id: 1852
EPROCESS Address: 0x817BFB98

Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1928
EPROCESS Address: 0x8175C9E0

Process: C:\WINDOWS\System32\WSCNTFY.EXE
Process Id: 2260
EPROCESS Address: 0x81550AE8

Process: C:\WINDOWS\EXPLORER.EXE
Process Id: 2312
EPROCESS Address: 0x81537B00

Process: C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
Process Id: 2392
EPROCESS Address: 0x822F3A48

Process: C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Process Id: 2424
EPROCESS Address: 0x816B1400

Process: C:\WINDOWS\SOUNDMAN.EXE
Process Id: 2432
EPROCESS Address: 0x81674B90

Process: C:\Program Files\Alwil Software\Avast4\ashDisp.exe
Process Id: 2440
EPROCESS Address: 0x822F3410

Process: C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
Process Id: 2448
EPROCESS Address: 0x8166A020

Process: C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
Process Id: 2472
EPROCESS Address: 0x81660DA0

Process: C:\Program Files\Wanadoo\TaskBarIcon.exe
Process Id: 2500
EPROCESS Address: 0x816A49A0

Process: C:\Program Files\TomTom HOME\TomTomHOME.exe
Process Id: 2560
EPROCESS Address: 0x816BFDA0

Process: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\AVGAS.EXE
Process Id: 2604
EPROCESS Address: 0xFF5215B0

Process: C:\Program Files\Microsoft Money\System\MNYEXPR.EXE
Process Id: 2612
EPROCESS Address: 0xFF31BDA0

Process: C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
Process Id: 2644
EPROCESS Address: 0xFF3123A8

Process: C:\Program Files\Wanadoo\GestionnaireInternet.exe
Process Id: 2696
EPROCESS Address: 0x822F6BC0

Process: C:\Program Files\Wanadoo\ComComp.exe
Process Id: 2756
EPROCESS Address: 0x816BE398

Process: C:\Program Files\Wanadoo\Toaster.exe
Process Id: 2776
EPROCESS Address: 0x81670BA0

Process: C:\Program Files\Wanadoo\Inactivity.exe
Process Id: 2784
EPROCESS Address: 0xFF149DA0

Process: C:\Program Files\Wanadoo\PollingModule.exe
Process Id: 2800
EPROCESS Address: 0x822F95B0

Process: C:\Program Files\Wanadoo\WOOBrowser\DownloadManager.exe
Process Id: 2824
EPROCESS Address: 0xFA84E0F8

Process: C:\WINDOWS\System32\AlertModule\ALERTM~1.EXE
Process Id: 2852
EPROCESS Address: 0xFEFF0B50

Process: C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
Process Id: 2948
EPROCESS Address: 0xFEEFF5B8

Process: C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
Process Id: 3032
EPROCESS Address: 0xFF1415B0

Process: C:\Program Files\Wanadoo\WOOBrowser\WOOBrowser.exe
Process Id: 3100
EPROCESS Address: 0xFB71E5B0

Process: C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
Process Id: 3232
EPROCESS Address: 0xFE8FEAD0

Process: C:\Program Files\Wanadoo\Watch.exe
Process Id: 3268
EPROCESS Address: 0xFE504020

Process: C:\WINDOWS\System32\HPZinw12.exe
Process Id: 3476
EPROCESS Address: 0xF9CE0020

Process: C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
Process Id: 3644
EPROCESS Address: 0xFA184228

Process: C:\RkUnhooker\TUSg1n37Dn7qhdf0.exe
Process Id: 3744
EPROCESS Address: 0xFCE97020

green day · Answer

apparemment, pas grand chose :/

 essaye avec hidden files detector, ou un truc similaire ! et poste se qu'il donne stp

++

Kokoy · Answer

Quand je lance scan sur l'onglet files ça ne donne rien comme résultat!!!

Que faire??
++

Séb08 · Answer

Efface tes points de resto ils sont infectés pour ça, fais cette manip

Si resto infecté :
¤Désactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu coches la case « désactiver la restauration » et applique. 

Puis, 

¤Réactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu décoches la case « désactiver la restauration » et applique.

http://www.libellules.ch/desactiver_restauration.php

=================== 

Dis moi est ce que tu as téléchargé ces fichiers (en gras) via le net  ?

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 

Ca me parait bizarre mais je préfère poser la question ...



a+

Kokoy · Answer

J'ai  désactivé la restauration puis je l'ai réactivé!!!
Mais rien ne change j'ai toujours l'alerte avest pour le virus pour lequel je ne peux rien faire!!!

Pour les fichier je ne les ai pas téléchargé depuis internet, pas intentionnellement du poins.

Que dois je faire maintenant??

++

green day · Answer

Bonjour

 ce sont des fichiers légitimes, et j'hésite à te les faire supprimer :/

...

++

Kokoy · Answer

Quelle est la solution alors???

+++

green day · Answer

Je te tiens au courant !

++

Kokoy · Answer

Tu veux que je t'aide d'une Quelconque  maniere???

MErci de ton aide

++

Séb08 · Answer

est ce que tu peux refaire un scan en ligne STP

- > Pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) : 
http://www.bitdefender.fr/bd/site/search.php#
Clique sur « Bitdefender scan on line »  suis les instructions.
Démo (merci à balltrap pour cette démo) :
http://perso.orange.fr/rginformatique/section%20virus/defender.htm

Et colle le rapport.

a+

green day · Answer

Salut à vous

 J'ai consulté les oracles, et ils m'ont conseillé des faire ceci :)

Après le scan, télécharge FindAWF.exe (par Noahdfear) sur ton Bureau.

- Double-clique FindAWF.exe
- Un fichier texte sera produit et s'affichera à l'écran (awf.txt)
- Copie/colle le contenu du fichier dans ta prochaine réponse.

++

Kokoy · Answer

Je suis en train de faire le scan online je poste le rapport dés que c'est fini!!!!
Peux tu me donner le lien ou je peux telecharger FindAWF.exe??

MErci

++

green day · Answer

Oups ! désolée :)

==> http://noahdfear.geekstogo.com/FindAWF.exe

++

Kokoy · Answer

No soucy!!!
Je te post le rapport dés que possible.

++

Séb08 · Answer

Je pense qu'il va falloir les virer et réinstaller Wanadoo et le log HP ...

Kokoy · Answer

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Mon, Aug 27, 2007 - 18:53:32
 
 
  
  
 
Voie d'analyse: C:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 00:53:05
 
Fichiers
 161719
 
Directoires
 3430
 
Secteurs de boot
 7
 
Archives
 8332
 
Paquets programmes
 7583
 
  
  
 
Résultats
 
Virus identifiés
 1
 
Fichiers infectés
 2
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 0
 
  
  
 
Info sur les moteurs
 
Définition virus
 750111
 
Version des moteurs
 AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Program Files\Wanadoo\Watch.exe
 Infecté par: Win32.Cuter.A
 
C:\Program Files\Wanadoo\Watch.exe
 Echec de la désinfection
 
C:\Program Files\Wanadoo\Watch.exe
 Echec de la suppression
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Infecté par: Win32.Cuter.A
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Echec de la désinfection
 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 Echec de la suppression
 
  
 
 
  
  Find AWF report by noahdfear ©2006
               Version 1.40



  bak folders found
  ~~~~~~~~~~~



  Duplicate files of bak directory contents
  ~~~~~~~~~~~~~~~~~~~~~~~



  end of report


Voila, dis moi ce que ça donne!!!

++

green day · Answer

Salut 

ok, vu, toujours les mêmes ! j'attends l'avis des oracles :)

 sinon on essayera de tout remplacer comme le suggère Seb !

++

green day · Answer

re

avec la fonction rechercher, fais un recherche pour ces deux fichiers :

Watch.exe et HPWuSchd2.exe  puis colle le résultat 

@+

Kokoy · Answer

Avec la fonction rechercher dans le menu demarrer???

green day · Answer

oui !

++

Kokoy · Answer

Pour HPWuSchd2.exe je trouve:
HPWUSCHD2.EXE-02F6D2DD.pf                        c:Windows\Prefetch                                                 13ko
HPWuSchd2                                                       C:\Program Files\HP\HP Software Update                48ko
HPWuSchd2                                                        C:\Program Files\HP\HP Software Update                56ko

Pour Watch.exe je trouve:
WATCH.EXE-31EDBDF6.pf                                  C:\WINDOWS\Prefetch                                    23ko
Watch                                                                   C:\Program Files\Wanadoo                             28ko
Watch                                                                   C:\Program Files\Wanadoo                             20ko

green day · Answer

ok,

fais ceci stp :

démarrer < exécuter < tape : Prefetch

fais Ctrl + A puis Suppr

je te donne la suite dans un petit moment

++

Kokoy · Answer

C'est fait!!!

green day · Answer

ok, on va refaire un manip mais avec avg cette fois-ci :

C:\Program Files\Wanadoo\Watch.exe
Infecté par: Win32.Cuter.A

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Infecté par: Win32.Cuter.A


fais un clic droit sur chacun d'eux, et scan les avec avgt !

poste les rapports stp

@+

Kokoy · Answer

En faisant un scan avec AVG pour les 2 fichiers il ne détecte rien!!!

C'est pour ça que je t'ai pas mis les rapports!!!

++

Kokoy · Answer

Bonnes nouvelles!!!
Après quelques recherches sur la toile et en particulier sur le site malekal's, j'ai changé d'antivirus gratuit en passant d'avast à antivir.
J'ai fais un scan avec antivir mis à jour en mode sans echec, il à tout trouvé, enfin du moins ce que avast ne trouvais pas à savoir Watch.exe et HPWuSchd2.exe, il les à mis en quarantaine et au redemarrage en mode normal j'ai remis le cd de l'assistant HP et tout marche nickel, j'ai fais analyser C:\Program Files\HP\HP Software Update\HPWuSchd2.exe par bitdefender et virustotal, il est clean quand à C:\Program Files\Wanadoo\Watch.exe je ne le trouve plus dans le fichier Wanadoo mais je n'ai aucun probleme pour aller sur internet ou recevoir des mails!!!

Il semblerait que tout marche bien, si tu veux bien t'en assurer je t'en remercie d'avance??

Je te joint le rapport d'antivir quand il à tout chopper en mode sans echec:



AntiVir PersonalEdition Classic
Report file date: mardi 28 août 2007  11:34

Scanning for 1036719 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         Administrateur
Computer name:    TITANIUM

Version information:
BUILD.DAT    : 247           14437 Bytes  10/05/2007 11:55:00
AVSCAN.EXE   : 7.0.4.15     282664 Bytes  20/04/2007 11:37:16
AVSCAN.DLL   : 7.0.4.4       33832 Bytes  27/03/2007 11:31:56
LUKE.DLL     : 7.0.4.11     143400 Bytes  27/03/2007 11:26:06
LUKERES.DLL  : 7.0.4.0       10280 Bytes  19/03/2007 11:19:00
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31/05/2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129  7251968 Bytes  10/07/2007 09:24:58
ANTIVIR2.VDF : 6.39.1.43   1542656 Bytes  25/08/2007 09:24:58
ANTIVIR3.VDF : 6.39.1.52     34304 Bytes  28/08/2007 09:24:58
AVEWIN32.DLL : 7.4.1.63    2724352 Bytes  28/08/2007 09:24:58
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:28
AVPREF.DLL   : 7.0.2.1       24616 Bytes  27/03/2007 11:31:52
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  28/08/2007 09:24:58
AVREG.DLL    : 7.0.1.2       31784 Bytes  15/03/2007 08:05:10
AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  27/03/2007 11:16:06
AVARKT.DLL   : 1.0.0.17     278568 Bytes  02/05/2007 10:32:28
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:44
RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  13/03/2007 09:46:20
RCTEXT.DLL   : 7.0.45.0      86056 Bytes  19/03/2007 11:42:44

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 28 août 2007  11:34

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
C:\Program Files\Wanadoo\Watch.exe
      [DETECTION] Is the Trojan horse TR/Patched.AF.125
      [INFO]      The file was moved to '4747eca1.qua'!
C:\Program Files\Wanadoo\Watch.exe
      [DETECTION] Is the Trojan horse TR/Patched.AF.125
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      [DETECTION] Is the Trojan horse TR/Patched.AF.129
      [INFO]      The file was moved to '472aec90.qua'!
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      [DETECTION] Is the Trojan horse TR/Patched.AF.129

The registry was scanned ( '22' files ).


Starting the file scan:

Begin scan in 'C:\' <SYS & LOG>
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\ati2ksag.sys
      [DETECTION] Is the Trojan horse TR/Spy.Banker.crq.15
      [INFO]      The file was moved to '473ced01.qua'!
C:\WINDOWS\system32\msvc32.dll
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '4749ed00.qua'!
C:\WINDOWS\system32\drivers\atapi.sys
      [WARNING]   The file could not be opened!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OXEZWLUV\m2_17_08_07_na_0[1].exe
      [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen
      [INFO]      The file was moved to '4732ee69.qua'!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\DEJGCVNN
2_17_08_07_na_0[1].exe
      [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen
      [INFO]      The file was moved to '465809ee.qua'!
C:\Documents and Settings\Administrateur\Bureau\sdfix.exe
  [0] Archive type: RAR SFX (self extracting)
  --> SDFix\apps\FIXLM.reg
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [INFO]      The file was moved to '4739ef7f.qua'!
C:\Documents and Settings\Administrateur\Bureau\sdfix\SDFix\apps\FIXLM.reg
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [INFO]      The file was moved to '472befa6.qua'!
C:\Documents and Settings\Administrateur\Bureau\sdfix\SDFix\backups\backups.zip
  [0] Archive type: ZIP
  --> backups/icf.exe
      [DETECTION] Is the Trojan horse TR/Obfuscated.GP.46
      [INFO]      The file was moved to '4736efc0.qua'!
C:\Program Files\Navilog1
avilog1.bat
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [INFO]      The file was moved to '4749f25e.qua'!
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP98\A0033813.exe
      [DETECTION] Is the Trojan horse TR/Patched.AF.125
      [INFO]      The file was moved to '4703f246.qua'!
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP98\A0033814.exe
      [DETECTION] Is the Trojan horse TR/Patched.AF.129
      [INFO]      The file was moved to '4703f247.qua'!
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP98\A0033815.sys
      [DETECTION] Is the Trojan horse TR/Spy.Banker.crq.15
      [INFO]      The file was moved to '466426cc.qua'!
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP98\A0033816.dll
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '4703f249.qua'!
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP98\A0033817.exe
  [0] Archive type: RAR SFX (self extracting)
  --> SDFix\apps\FIXLM.reg
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [INFO]      The file was moved to '466426ce.qua'!
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP98\A0033818.reg
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [INFO]      The file was moved to '4703f24b.qua'!
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP98\A0033819.bat
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [INFO]      The file was moved to '466426c8.qua'!


End of the scan: mardi 28 août 2007  12:00
Used time: 25:27 min

The scan has been done completely.

   3507 Scanning directories
 144909 Files were scanned
     17 viruses and/or unwanted programs were found
      8 classified as suspicious:
      0 files were deleted
      0 files were repaired
     17 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 144884 Files not concerned
    853 Archives were scanned
      2 Warnings
      2 Notes
      0 Hidden objects were found

++

green day · Answer

C'est su-père ! :-))

nickel ! tout est ok !

;-)

Kokoy · Answer

Je te remercie beaucoup de ton aide et de ta patience!!!

J'ai grandement apprècié et à jamais j'espere ;-)

Bonne continuation.

Séb08 · Answer

Ok bien . :)

Tu peux jeter tout ce qui est SDfix, combofix, cleanzip,smitfraudfix,Navilog etc ...

Remet un log hijack quand même .

A+

Kokoy · Answer

Voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:45, on 28/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\HPZipm12.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Séb08 · Answer

un peu de nettoyage ...

Relance Hijack,choisi « do a scan only » ou « scanner seulement » coches ces lignes :

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe 

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe 
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/ 

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe 

Ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus, puis clique « Fix checked » ou « fixer objet ». Ferme HijackThis!

=============================

Arrête ce service

 France Telecom Routing Table Service (FTRTSVC) 

pour ça fais cette manip :

Démarrer -> executer tape services.msc   double clic sur le service cité - > et dans "type de démarrage"  mets le sur  « désactivé » et dans statut du service, met le sur « arrêter ».


Dis moi comment se comporte ton PC .

a+

green day · Answer

Faut laisser antivir au moins ?! Ô_o

green day · Answer

;-))

Kokoy · Answer

Trop tard,  j'avais deja lu et je l'ai fixé!!!

Comment faire pour la remettre??

J'ai vu que antivir ne se lance plus au demarrage!!!

Sinon le reste à l'aire de bien fonctionné, mon pc demarre plus rapidement (normal vu que moins de chose se lance au demarrage)

Peux tu me dire ce qu'était le truc de France Telecom que tu m'as fait désactivé et arreter??

++

Séb08 · Answer

Ce n'est pas grave ...

Réouvre HijackThis, choisis " view the lit of backups" coche la case devant cette ligne :

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

, puis clique sur "restore".

Redémarre ton PC et dis moi si antivir démarre .

Peux tu me dire ce qu'était le truc de France Telecom que tu m'as fait désactivé et arreter??

C'est un des nombreux service de france Telecom qui est inutile et qui pose même des problèmes à certains internautes.

Kokoy · Answer

Modif faite, j'ai redemarré le pc, antivir se lance nickel!!!

++

Séb08 · Answer

Ok c'est tout bon.

Bon surf ! :-)

Kokoy · Answer

Un grand merci à vous 2!!!

Bonne continuation

green day · Answer

Bonne continuation itoo ;-))

@+

Comment se débarasser de Win32.Cuter.A & Gene

75 réponses

Discussions similaires