infecté par Adware.ExpertAntivirus.BRésolu/Fermé

Question

Bonjour,
Mon PC est infecté par Adware.ExpertAntivirusB. Ils'est installé dans C:\WINDOWS\System32\HtBt.dll. Mon antivirus BitDefender ne peut pas le déloger. Merci de m'aider à le supprimer

nardino · Answer

Bonjour.
1°-Télécharge Antivir

-Antivir de Avira : https://www.avira.com/

Clique sur "download here" en bas de la colonne Classic et dans la fenêtre suivante clique sur la version de ton système. 
(Attention pas disponible pour Vista 64 bits.)

Enregistre le fichier (16.4 Mo) et installe le programme.
Voici un tutoriel pour ce faire et bien paramétrer le programme.

http://speedweb1.free.fr/frames2.php?page=tuto5
Merci à Tesgaz.

Mets-le à jour et referme-le.

2°-Démarrage en mode sans échec 

Important de faire la procédure sous ce mode.
Il faut choisir la même session que celle qui est infectée et non pas la session Administrateur qui apparaît.

Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuie sur F8.
Une fenêtre de type DOS s'ouvre, sélectionne [b]Mode sans échec[/b] à l'aide des flèches du clavier et clique sur Entrée (Enter).
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire et peut prendre quelque minutes pour démarrer.

3°-Scan antivirus

Tu cliques sur l'icône du bureau pour lancer Antivir.
Dans l'onglet Scanner,; tu cliques sur la croix devant Manual Selection et tu coches Poste de travail.
Tu laisses tout coché pour la première analyse.
Tu cliques sur l'icône en forme de loupe en-dessous de Status pour lancer l'analyse qui peut durée une heure.
Il est préférable de ne pas s'éloigner pour répondre aux messages en cas d'alerte.
Tu choisis "Moved to quarantine" pour tout ce qu'il trouve.
Quand le scan est terminé, tu clique sur End.

4°-Redémarrage en mode normal

Tu postes le rapport Antivir.
Tu ouvres le programme et dans l'onglet Reports, choisi Scan avec la date correspondante, double-clique dessus et ensuite sur Report file 
et fais un copier-coller de la totalité.
Ce programme sera désinstallé ou remplacera ton antivirus existant selon tes souhaits.

balltrap34 · Answer

salut
juste pour renseignement
a tu des pages intenet qui s ouvre avec ExpertAntivirus ou quelque chose dans le genre stp
merci
a++

blocage · Answer

Bonjour Balltrap34 - Rien ne s'ouvre avec ExpertAntivirus. Il s'est installé. BitDefender le détecte mais il ne peut pas l'effacer. Merci de t'intérreser à ce problème

balltrap34 · Answer

salut
merci du renseignement je te laisse avec nardino fait bien se qu ilm te dit
a++

nardino · Answer

Salut Balltrap,

Blocage, 
Peux-tu appliquer le scan avec Antivir et poster le rapport.

blocage · Answer

bonjour Nardino
 
J'
   
Scanning for 886507 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SURGIT
Computer name:    PCSURGIT

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 12:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 11:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 14:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.91     687104 Bytes  16/10/2007 13:51:39
ANTIVIR3.VDF : 7.0.0.96      36864 Bytes  16/10/2007 13:51:39
AVEWIN32.DLL : 7.6.0.23    2753024 Bytes  16/10/2003 13:51:39
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 06:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03/08/2007 07:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 06:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 06:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 11:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 11:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: vendredi 17 octobre 2003  08:12

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '48' files ).


Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\SoUI.dll
      [DETECTION] Is the Trojan horse TR/Agent.bmx.2
      [WARNING]   An error has occurred and the file was not deleted. ErrorID: 16003
      [WARNING]   The file could not be deleted!
Begin scan in 'D:\'
Search path D:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: vendredi 17 octobre 2003  09:06
Used time: 53:55 min

The scan has been done completely.

   4528 Scanning directories
 146728 Files were scanned
      1 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 146727 Files not concerned
   7227 Archives were scanned
      2 Warnings
      2 Notes

ai fait plusieurs scan. Aviva ne peut pas effacer le virus et je crois qu'il a changé de nom - ci-joint le rapport

nardino · Answer

Bonjour.
Commence par désinstaller Antivir qui ne doit pas rester en place avec un autre antivirus.
Puis applique ce qui suit :
Télécharge sur ton bureau [b]OAD[/b] (Outil Aide Diagnostic) de !aur3n7 : http://sosvirus.changelog.fr/OAD.exe

Lance-le en cliquant sur OAD.exe, entre le nom du fichier suivant, puis Entrée.

Dans la fenêtre suivante tape 6 puis entrée et laisse le scan se terminer.
Copie-colle la totalité du rapport qui s'ouvre dans le blocnote dans ta prochaine réponse.
SoUI.dll

Et recommence avec 
HtBt.dll

blocage · Answer

rebonjour

J'ai désinstallé Antivir. J,ai téléchargé OAD - Quand j'arrive à 6.complète + entrée rien ne bouge. Que faire ?

nardino · Answer

Bonsoir,
Tu as bien copié-collé SoUI.dll 
Et tu recommences avec HtBt.dll

blocage · Answer

Bonjour Nardino

Excuse-moi, j'ai du m'absenter et je ne peux reprendre qu'aujourdhui. Je voulais dire dans mon dernier message que lorsque j'arrive dans OAD à 6.compète et quand je tape "entrée", le scan ne démarre pas. Rien ne bouge

nardino · Answer

Bonjour.
Voici un tutoriel pour l'utilisationde OAD.
http://perso.orange.fr/rue-du-montceau/tutoriels.html#oad
Si tu appliques à la lettre, il doit fonctionner.

blocage · Answer

J'ai téléchargé rue-du-Montceau et suivi les directives. Ca bloque toujours au niveau de 6.complète. La fenêtre suivante ne s'affiche pas.
Je suis prêt à tout effacer et repartir à zéro s'il n'y a pas moyen de faire autrement

nardino · Answer

Bonsoir,
Comment s'appelle le compte sous lequel tu est logué ?

blocage · Answer

Bonjour

mon compte est anciennement wanadoo et orange maintenant

nardino · Answer

Bonjour.
Je ne parlais pas du fournisseur d'accès à Internet mais du nom du compte ou de la session, si tu préfères, sous lequel tu ouvres ton Windows.

blocage · Answer

nom du compte: SURGIT

nardino · Answer

Bonjour.
J'avoue ne pas comprendre.
Déplace OAD à la racine du système :
C:\OAD
Et essaie.

blocage · Answer

bonjour

C'est quoi la racine du système ?

blocage · Answer

Je dois m'absenter de nouveau et je ne pourrai utiliser mon PC que mercredi prochain.  Merci pour votre dévouement dans ce problème particulièrement difficile

A+

blocage · Answer

Bonjour Nardino

Je suis de retour. Souhaitez-vous continuer la résolution de mon problème ?

nardino · Answer

Bonsoir

La racine du système c'est C:\ sur la plupart des ordinateurs.
Ici c'est sous Vista, mais identique sous XP.
Tu y installe donc OAD.
https://i18.servimg.com/u/f18/11/05/93/83/c10.jpg

blocage · Answer

Bonjour Nardino

J'ai compris pourquoi ça ne marchait pas. Quand je tapais sur 6 + entrée, je ne mettais pas le 6 à l'endroit ou ça clignotait. Voici le résultat : 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


 05/11/2007 ---- 15:53:55,98  

----------------------------------
§§§§§§ [C:WINDOWS\system32\HtBt.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

nardino · Answer

Bonsoir,
Télécharge OTMoveIt : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe Sur ton bureau. Important.

Tu le lances, il ne nécessite pas d'installation.

Tu inscris (ou tu colles) le chemin du fichier/dossier à supprimer dans la fenêtre de gauche (Paste List of Files/Folders to be moved) et tu cliques sur MoveIt!.
(La case Unregister Dll's and OCX's doit être cochée.)

C:WINDOWS\system32\HtBt.dll

Le fichier passe alors dans la fenêtre de droite.
Et tu obtiendras à la racine du système un dossier C:\_OTMoveIt
Dans ce dernier un sous-dossier Moved Files dans lequel il y aura une sauvegarde du/des fichier(s) supprimé(s) et un fichier de ce type
 ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression).
Tu le posteras par copier-coller pour contrôle.

Si un redémarrage est demandé, accepte-le après avoir fermé tes applications en cours

Et donne des nouvelles de tes problèmes

blocage · Answer

Bonjour

J'ai téléchargé OTMovelt. Sur la page de droite il y a : Results: File/Folder HtBt.dell not found - created on 11/6/2007  11:02:45

en plus un encart avec une croix rouge qui dit : cannot create file C:\_OTmove it\movedFiles 11062007 - 110245.

nardino · Answer

Bonjour.
Télécharge Combofix de sUBs : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

	[*]Ferme toutes les fenêtres
	[*]Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre)
	[*]Appuie sur Y pour lancer le scan
	[*]A la fin du scan (cela peut prendre du temps), un rapport sera créé.
Poste ce rapport dans ton prochain message.

blocage · Answer

bonjour. Voilà ce que j'ai obtenu Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.547 [GMT 1:00] Running from: C:\Documents and Settings\SURGIT\Mes documents\margi1\combofix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\SoftPortal C:\Program Files\SoftPortal\Soft\ATGE\ui.uim C:\Program Files\SoftPortal\Soft\ATHtBt\ui.uim C:\Program Files\SoftPortal\Soft\RTNKa\ui.uim C:\Program Files\SoftPortal\Soft\XBS\info.txt C:\Program Files\SoftPortal\Soft\XBS\ui.uim C:\Program Files\SoftPortal\Soft\XBS\XBS.part001.rar C:\Program Files\SoftPortal\Soft\XBS\XBS.part002.rar C:\WINDOWS\system32\IEBHO.dll C:\WINDOWS\system32 tnka.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-06 to 2007-11-06 )))))))))))))))))))))))))))))))))))) . 2007-11-06 12:45 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-04 16:27 d-------- C:\Documents and Settings\SURGIT\Application Data\Skype 2007-11-04 16:27 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2007-11-02 15:08 d-------- C:\Documents and Settings\SURGIT\popup 2007-11-02 15:08 d-------- C:\Documents and Settings\SURGIT\Groups 2007-11-02 07:40 582,656 --------- C:\WINDOWS\system32\dllcache pcrt4.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-06 11:52 --------- d-----w C:\Program Files\Wanadoo 2007-11-06 11:52 --------- d-----w C:\Program Files\Steam 2007-11-06 11:52 --------- d-----w C:\Program Files\PestPatrol 2007-11-06 11:50 81,984 ----a-w C:\WINDOWS\system32\bdod.bin 2007-11-05 16:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared 2007-11-02 06:41 --------- d-----w C:\Program Files\Java 2007-10-01 05:54 76,800 ----a-w C:\WINDOWS\system32\unrar.dll 2007-09-19 13:45 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-09-02 13:58 4,252 ----a-w C:\WINDOWS\system32 mp.reg 2007-08-23 21:27 492,544 ----a-w C:\WINDOWS\system32\HtBt.dll 2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-21 06:17 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll 2007-08-21 05:42 161 ----a-w C:\DeleteAtReboot.bat 2007-08-20 09:59 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll 2007-08-20 09:59 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll 2007-08-20 09:59 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll 2007-08-20 09:59 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll 2007-08-20 09:59 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-08-20 09:59 477,696 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-08-20 09:59 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-08-20 09:59 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll 2007-08-20 09:59 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll 2007-08-20 09:59 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-08-20 09:59 3,584,512 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-08-20 09:59 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-08-20 09:59 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll 2007-08-20 09:59 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll 2007-08-20 09:59 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll 2007-08-20 09:59 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-08-20 09:59 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll 2007-08-20 09:59 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll 2007-08-20 09:59 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-08-20 09:59 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll 2007-08-20 09:59 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll 2007-08-20 09:59 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll 2007-08-20 09:59 1,152,000 ------w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-08-17 10:22 63,488 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2007-08-17 10:22 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2007-08-17 10:22 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-08-17 07:34 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}] C:\WINDOWS\system32\pbfrv2.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF3446E8-FC32-4E55-9C56-0B8DA015FC10}] C:\WINDOWS\system32\GE.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"= C:\WINDOWS\system32\pbfrv2.dll [ ] [HKEY_CLASSES_ROOT\CLSID\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}] [HKEY_CLASSES_ROOT\pbfrv2.PBFRV2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"= C:\WINDOWS\system32\pbfrv2.dll [ ] [HKEY_CLASSES_ROOT\CLSID\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}] [HKEY_CLASSES_ROOT\pbfrv2.PBFRV2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 13:00] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-03 14:25] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 14:22] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 14:26] "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 14:37 C:\WINDOWS\RTHDCPL.EXE] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 10:50] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "AGRSMMSG"="AGRSMMSG.exe" [2005-05-11 12:12 C:\WINDOWS\AGRSMMSG.exe] "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 12:48] "BDMCon"="C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" [2007-07-17 15:34] "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 14:49] "PPMemCheck"="C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [2004-06-11 16:37] "PestPatrol Control Center"="C:\PROGRA~1\PESTPA~1\PPControl.exe" [2005-02-28 10:53] "CookiePatrol"="C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [2005-02-28 10:53] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "Acronis Schedule"="C:\Program Files\Fichiers communs\Acronis\Schedule\schedule.exe" [2007-07-17 17:30] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 13:50] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [] "Steam"="C:\Program Files\Steam\Steam.exe" [2003-10-10 13:32] R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-06 12:52:59 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-06 12:54:30 - machine was rebooted . --- E O F ---

nardino · Answer

Bonjour
- Ouvre le bloc-note et copie-colles-y les lignes écrites ci-dessous (en italique) :

File::
C:\WINDOWS\system32	mp.reg 
C:\WINDOWS\system32\HtBt.dll 
C:\DeleteAtReboot.bat 


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}] 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF3446E8-FC32-4E55-9C56-0B8DA015FC10}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[-HKEY_CLASSES_ROOT\CLSID\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[-HKEY_CLASSES_ROOT\pbfrv2.PBFRV2] 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-


- Enregistre-le sous CFScript.txt, sur le bureau
- Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
	http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
- Supprime le fichier C:\Combofix.txt et relance Combofix.
- Poste le nouveau Combofix.txt et un nouveau rapport HijackThis.
- Donne des infos sur l'évolution de tes problèmes.

blocage · Answer

salut - J'ai beaucoup ramé pour faire ce qui était prévu. J'espère que c'est juste - Qu'est-ce qu'un rapport Hijack This ComboFix 07-11-06.4 - SURGIT 2007-11-06 18:21:56.6 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.557 [GMT 1:00] Running from: C:\Documents and Settings\SURGIT\Mes documents\margi1\combofix.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-10-06 to 2007-11-06 )))))))))))))))))))))))))))))))))))) . 2007-11-06 14:59 29,184 --a------ C:\info.exe 2007-11-06 12:45 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-04 16:27 d-------- C:\Documents and Settings\SURGIT\Application Data\Skype 2007-11-04 16:27 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2007-11-02 15:08 d-------- C:\Documents and Settings\SURGIT\popup 2007-11-02 15:08 d-------- C:\Documents and Settings\SURGIT\Groups 2007-11-02 07:40 582,656 --------- C:\WINDOWS\system32\dllcache pcrt4.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-06 17:21 81,984 ----a-w C:\WINDOWS\system32\bdod.bin 2007-11-06 17:14 --------- d-----w C:\Program Files\Wanadoo 2007-11-06 17:14 --------- d-----w C:\Program Files\PestPatrol 2007-11-06 17:11 --------- d-----w C:\Program Files\Steam 2007-11-05 16:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared 2007-11-02 06:41 --------- d-----w C:\Program Files\Java 2007-10-01 05:54 76,800 ----a-w C:\WINDOWS\system32\unrar.dll 2007-09-19 13:45 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-21 06:17 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll 2007-08-20 09:59 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll 2007-08-20 09:59 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll 2007-08-20 09:59 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll 2007-08-20 09:59 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll 2007-08-20 09:59 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-08-20 09:59 477,696 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-08-20 09:59 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-08-20 09:59 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll 2007-08-20 09:59 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll 2007-08-20 09:59 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-08-20 09:59 3,584,512 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-08-20 09:59 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-08-20 09:59 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll 2007-08-20 09:59 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll 2007-08-20 09:59 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll 2007-08-20 09:59 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-08-20 09:59 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll 2007-08-20 09:59 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll 2007-08-20 09:59 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-08-20 09:59 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll 2007-08-20 09:59 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll 2007-08-20 09:59 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll 2007-08-20 09:59 1,152,000 ------w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-08-17 10:22 63,488 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2007-08-17 10:22 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2007-08-17 10:22 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-08-17 07:34 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 13:00] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-03 14:25] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 14:22] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 14:26] "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 14:37 C:\WINDOWS\RTHDCPL.EXE] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 10:50] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "AGRSMMSG"="AGRSMMSG.exe" [2005-05-11 12:12 C:\WINDOWS\AGRSMMSG.exe] "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 12:48] "BDMCon"="C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" [2007-07-17 15:34] "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 14:49] "PPMemCheck"="C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [2004-06-11 16:37] "PestPatrol Control Center"="C:\PROGRA~1\PESTPA~1\PPControl.exe" [2005-02-28 10:53] "CookiePatrol"="C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [2005-02-28 10:53] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 10:45] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "Acronis Schedule"="C:\Program Files\Fichiers communs\Acronis\Schedule\schedule.exe" [2007-07-17 17:30] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 13:50] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [] "Steam"="C:\Program Files\Steam\Steam.exe" [2003-10-10 13:32] C:\Documents and Settings\SURGIT\Menu D‚marrer\Programmes\D‚marrage\ PPControl.lnk - C:\Documents and Settings\SURGIT\Application Data\Microsoft\Installer\{FA1B3B7A-98D0-4F54-B555-7711A6E54544}\IconFA1B3B7A.exe [2007-07-17 15:16:56] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-06 18:24:20 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-06 18:25:29 C:\ComboFix2.txt ... 2007-11-06 18:11 . --- E O F ---

nardino · Answer

Bonsoir.
Tu ouvres CFScript.txt
Tu effaces tout et tu recolles:

File:: 
:\WINDOWS\system32\bdod.bin 
Tu enregistres et tu exécutes avec Combofix.

Tu postes le rapport.

Installe cet utilitaire (Hijackthis):
http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download

Il sera dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe

Lance-le par Do a system scan and save a logfile.
A la fin du scan, un blocnote va s'ouvrir, enregistre le sous HJT1.txt.
Puis sans le fermer :
CTRL+A pour tout sélectionner
CTRL+C pour copier 
CTRL+V pour coller dans la réponse
Et tu le refermes pour le moment.
Tu attends les résultats de l'analyse.

Et donnes des infos sur l'évolution des problèmes.

blocage · Answer

bonjour

Ce matin en allumant mon PC, j'ai eu la surprise de constater que ne s'affichait plus l'alerte BitDefender me disant que l'ordinateur était infecté par : Adware.ExpertAntivirus.B. J'ai fait un scan avec bit Defender: il n'y a plus rien. J'en ai refait un autre : pareil. Le problème a l'air résolu. Comment ça s'est fait? Je n'en sais rien.

J'ai pris connaissance de ton dernier message. Les problèmes que je rencontre, c'est coller Windows\system32\bdod.bin. Je n'arrive pas à l'afficher. J'ai aussi pardu CFScript.text. Il me reste Combofix. Malgré tout, dois-je faire ces opérations et dois-je utiliser Hijackthis?

En fin d'après-midi je m'absente jusqu'à dimanche soir. A bientôt de tes nouvelles

nardino · Answer

Bonjour,
Applique ce que je t'ai préconisé dans mon dernier post.
Crée un nouveau CFScipt.txt

blocage · Answer

Je n'arrive plus a télécharger CFSript.txt

nardino · Answer

Poste un rapport Hijackthis.

blocage · Answer

Bonjour. J'ai refait un scan avec combofix. Je poste le rapport. Tout de suite après je ferai rapport HijackthisComboFix 07-11-06.4 - SURGIT 2007-11-11 19:49:47.8 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.566 [GMT 1:00]Running from: C:\Documents and Settings\SURGIT\Mes documents\margi1\combofix.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-10-11 to 2007-11-11 )))))))))))))))))))))))))))))))))))) . 2007-11-06 12:45 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-04 16:27 d-------- C:\Documents and Settings\SURGIT\Application Data\Skype 2007-11-04 16:27 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2007-11-02 15:08 d-------- C:\Documents and Settings\SURGIT\popup 2007-11-02 15:08 d-------- C:\Documents and Settings\SURGIT\Groups 2007-11-02 07:40 582,656 --------- C:\WINDOWS\system32\dllcache pcrt4.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-11 18:49 81,984 ----a-w C:\WINDOWS\system32\bdod.bin 2007-11-11 18:32 --------- d-----w C:\Program Files\PestPatrol 2007-11-11 18:31 --------- d-----w C:\Program Files\Wanadoo 2007-11-11 18:27 --------- d-----w C:\Program Files\Steam 2007-11-05 16:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared 2007-11-02 06:41 --------- d-----w C:\Program Files\Java 2007-10-01 05:54 76,800 ----a-w C:\WINDOWS\system32\unrar.dll 2007-09-19 13:45 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-21 06:17 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll 2007-08-20 09:59 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll 2007-08-20 09:59 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll 2007-08-20 09:59 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll 2007-08-20 09:59 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll 2007-08-20 09:59 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-08-20 09:59 477,696 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-08-20 09:59 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-08-20 09:59 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll 2007-08-20 09:59 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll 2007-08-20 09:59 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-08-20 09:59 3,584,512 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-08-20 09:59 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-08-20 09:59 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll 2007-08-20 09:59 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll 2007-08-20 09:59 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll 2007-08-20 09:59 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-08-20 09:59 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll 2007-08-20 09:59 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll 2007-08-20 09:59 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-08-20 09:59 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll 2007-08-20 09:59 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll 2007-08-20 09:59 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll 2007-08-20 09:59 1,152,000 ------w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-08-17 10:22 63,488 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2007-08-17 10:22 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2007-08-17 10:22 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-08-17 07:34 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 13:00] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-03 14:25] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 14:22] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 14:26] "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 14:37 C:\WINDOWS\RTHDCPL.EXE] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 10:50] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "AGRSMMSG"="AGRSMMSG.exe" [2005-05-11 12:12 C:\WINDOWS\AGRSMMSG.exe] "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 12:48] "BDMCon"="C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" [2007-07-17 15:34] "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 14:49] "PPMemCheck"="C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [2004-06-11 16:37] "PestPatrol Control Center"="C:\PROGRA~1\PESTPA~1\PPControl.exe" [2005-02-28 10:53] "CookiePatrol"="C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [2005-02-28 10:53] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 10:45] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "Acronis Schedule"="C:\Program Files\Fichiers communs\Acronis\Schedule\schedule.exe" [2007-07-17 17:30] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 13:50] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [] "Steam"="C:\Program Files\Steam\Steam.exe" [2003-10-10 13:32] C:\Documents and Settings\SURGIT\Menu D‚marrer\Programmes\D‚marrage\ PPControl.lnk - C:\Documents and Settings\SURGIT\Application Data\Microsoft\Installer\{FA1B3B7A-98D0-4F54-B555-7711A6E54544}\IconFA1B3B7A.exe [2007-07-17 15:16:56] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-11 19:50:34 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-11 19:51:09 C:\ComboFix2.txt ... 2007-11-11 19:46 C:\ComboFix3.txt ... 2007-11-06 18:25 . --- E O F ---

blocage · Answer

je poste le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:36:33, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Apps\Powercinema\PCMService.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PestPatrol\PPControl.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.ircfast.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {CC18AE76-7E65-4258-A193-9EA0C52DA6B8} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acronis Schedule] C:\Program Files\Fichiers communs\Acronis\Schedule\schedule.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PPControl.lnk = ?
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

nardino · Answer

Bonsoir.

Lances Hiajckthis par Scan only et coches :

O3 - Toolbar: (no name) - {CC18AE76-7E65-4258-A193-9EA0C52DA6B8} - (no file) 
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

Puis clique sur Fix checked.

Dans Démarrer-Exécuter, tape services.msc et recherche, arrête et désactive celui-ci:

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe 

Puis dans Hijackthis, Open teh Misc tolls, Delete an NT service, tu colles:

AOL Connectivity Service

Dans le popup et tu valides sans tenir compte de l'avertissement.
Si tes problèmes sont résolus passe la question en  Problème résolu.

blocage · Answer

Bonjour

J'ai effectué ce que tu m'as demandé. Ca fonctionne jusqu'au PopUp. Quand je valide OK dans le Pop Up j'ai un encart qui me dit " HijackThis - service AOL connectivity service was not found in the registry. Make sure you entered the name of the service correctly"
De ce fait je ne peux pas récapituler la solution. En tout cas pour moi le problème est résolu.

Je tiens à remercier le site comment ça marche et toi particulièrement Nardino, qui t'es bien décarcassé pour solutionner mon problème.Je consulte encore le site si toutefois il resterait quelque chose à faire.

nardino · Answer

Bonjour.

Supprime ce "service" manuellement.
Rends toi ici:
C:\Program Files\Fichiers communs\ et supprimes le dossier AOL.

Bye.

blocage · Answer

Bonsoir

J'ai supprimé manuellement AOL connectivity service. Seul AOLacsd.exe n'a pu être ôté. Ca dit :

"impossible de supprimer AOLacsd.exe: accès refusé - Vérifier que le disque n'est pas plein ou protégé en écriture ..."

Que dois-je faire?

nardino · Answer

Bonsoir.

Tu peux le supprimer avec OtMoveIt  en entrant le chemin exact.
Sinon ce n'est pas très important.

blocage · Answer

Bonjour. Je n'ai pas réussi à effacer AOLacs.exe. OTMovelt ne le reconnais pas. Et maintenant ?

Infecté par Adware.ExpertAntivirus.B

41 réponses

Discussions similaires

Newsletters