hijack demande d'aide

Question

Bonjour,

Problème de pub intempestives et lenteur excessive du portable sur lequel je me trouve


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:21, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing)

Utilisateur anonyme · Answer

refaits un log Hijackthis
pas complet !
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

kessya2002 · Answer

Comme demandé

Merci

Logfile of HijackThis v1.99.1
Scan saved at 15:49:33, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32
gwjudhx.dll
O2 - BHO: (no name) - {6D74BF9B-F4D3-420B-B27A-9E7DCBA5CF71} - C:\WINDOWS\system32\ddcdc.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkkkhi.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F3F18668-6B32-4CCA-BC65-C5DBC224B072} - C:\WINDOWS\system32\uupnovqs.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\ibiiyfdk.dll",realset
O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://www.msnjeux.com/online2/MSN_INTL_FRANCE/feeding_frenzy/SproutLauncher.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O20 - Winlogon Notify: ddcdc - C:\WINDOWS\system32\ddcdc.dll
O20 - Winlogon Notify: jkkkkhi - C:\WINDOWS\SYSTEM32\jkkkkhi.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing)

kessya2002 · Answer

?? Pour que ma demande ne se perde pas dans nos nombreuses requetes...
Merci
Karine

kessya2002 · Answer

Pensez vous qu'il soit judicieux de passer un panda scan ou autre ?

Utilisateur anonyme · Answer

pour le moment, fais ceci:
https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html
postes le rapport

kessya2002 · Answer

des petites nouvelles

J'ai passé un petit coup de vundofix ou là il m'a sorti pleins de fichiers J'ai cliqué sur le premier et là il m'a demandé de redémarrer Après redémarrage il m'a ressorti automatiquement la fenêtre vundo avec encore 1 fichier et j'ai de nouveau redémarrer... j'ai repassé le vundo et la plus de fichier trouvé.. Donc j'ai ouvert internet et là tjrs des fenetres intempestives donc je fais la seconde version symantec..; on verra par contre j'ai un virus avéré qui s'appelle : Trojan-downloader.win32.Agent.bxr... que faire ?
Merci pour ton aide
Karine

Utilisateur anonyme · Answer

repostes un log Hijackthis, nous n'avons pas fini...

kessya2002 · Answer

je n'ai pas encore fini le san de la seconde version du vundo... c'est un peu long

kessya2002 · Answer

j'ai l'impression qu'il scan toujours les mêmes fichiers... je crois qu'il y a un problème. Je pense que je vais l'arreter et faire un hijack... t'en penses quoi 
Merci

kessya2002 · Answer

Voici la dernière version hijack... j'ai finalement arrêté le vundo qui tournait sous local et etait bloqué 


Logfile of HijackThis v1.99.1
Scan saved at 18:29:30, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {6D74BF9B-F4D3-420B-B27A-9E7DCBA5CF71} - C:\WINDOWS\system32\ddcdc.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F3F18668-6B32-4CCA-BC65-C5DBC224B072} - C:\WINDOWS\system32\uupnovqs.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://www.msnjeux.com/online2/MSN_INTL_FRANCE/feeding_frenzy/SproutLauncher.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing)

Utilisateur anonyme · Answer

télécharge ceci:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clic e sur VirtumundoBeGone.exe
clic Continue ==> clic clic Start
clic Oui
A la fin si Vundo est présent , le PC s’éteint et redémarre

Si Ecran bleu et message : Erreur fatale .. pas de problème

Poster le rapport VBG.TXT qui est sur le bureau

kessya2002 · Answer

[10/27/2007, 18:42:33] - VirtumundoBeGone v1.5 ( "C:\DOCUME~1\magali\Bureau\virtumundobegone.exe" )
[10/27/2007, 18:42:38] - Detected System Information:
[10/27/2007, 18:42:38] -  Windows Version: 5.1.2600, Service Pack 2
[10/27/2007, 18:42:38] -  Current Username: magali (Admin)
[10/27/2007, 18:42:38] -  Windows is in NORMAL mode.
[10/27/2007, 18:42:38] - Searching for Browser Helper Objects:
[10/27/2007, 18:42:38] -  BHO 1: {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} (Need2Find Bar BHO)
[10/27/2007, 18:42:38] -  BHO 2: {6D74BF9B-F4D3-420B-B27A-9E7DCBA5CF71} ()
[10/27/2007, 18:42:38] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/27/2007, 18:42:39] -  Checking for HKLM\...\Winlogon\Notify\ddcdc
[10/27/2007, 18:42:39] -  Key not found: HKLM\...\Winlogon\Notify\ddcdc, continuing.
[10/27/2007, 18:42:39] -  BHO 3: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[10/27/2007, 18:42:39] -  BHO 4: {F3F18668-6B32-4CCA-BC65-C5DBC224B072} ()
[10/27/2007, 18:42:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/27/2007, 18:42:39] -  Checking for HKLM\...\Winlogon\Notify\uupnovqs
[10/27/2007, 18:42:39] -  Key not found: HKLM\...\Winlogon\Notify\uupnovqs, continuing.
[10/27/2007, 18:42:39] - Finished Searching Browser Helper Objects
[10/27/2007, 18:42:39] - Finishing up...
[10/27/2007, 18:42:39] - Nothing found! Exiting...

kessya2002 · Answer

Tu en penses quoi ?

Utilisateur anonyme · Answer

fais ceci:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
lance-le.
postes le rapport

Utilisateur anonyme · Answer

on est dans le bon.
ddcdc.dll (file missing) 
uupnovqs.dll (file missing) 
j'attends le combofix

kessya2002 · Answer

dur dur le combo L'ordi n'a pas voulu redémarrer automatiquement et je ne sais pas si je suis allée au bout car il était bloqué... ou puis je trouver le rapport ? J'ai une grosse croix rouge  sur le programme combo fix

kessya2002 · Answer

je retente de le télécharger j'ai peut être loupé quelque chose...

kessya2002 · Answer

non rien a faire

Utilisateur anonyme · Answer

autant pour moi, en mode normal tu vas avoir une erreur  stack overflow !


Télécharger ComboFix (par sUBs) sur le Bureau
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

    * Démarrer en mode sans echec
    * Double cliquer combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan
    * Le rapport sera crée dans: C:\Combofix.txt
    * Refaire un rapport hijackhthis, et fixer les lignes correspondante comme indiquer plus haut.

kessya2002 · Answer

Super dur problème de connexion internet mais voila c'est fait :-) ComboFix 07-10-23.2 - magali 2007-10-27 20:37:07.3 - NTFSx86 Le temps d'exécution du script a été dépassé pour le script "C:\ComboFix\osid.vbs". L'exécution du script a pris fin. Running from: C:\DOCUME~1\magali\Bureau\combofix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\hosts C:\WINDOWS\pack.epk C:\WINDOWS\system32\awtuutq.dll C:\WINDOWS\system32\byxusro.dll C:\WINDOWS\system32\efcbbax.dll C:\WINDOWS\system32\fccabxx.dll C:\WINDOWS\system32\gebawtu.dll C:\WINDOWS\system32\gebbyyw.dll C:\WINDOWS\system32\khffdcd.dll C:\WINDOWS\system32\ljjgfed.dll C:\WINDOWS\system32\ljjhhij.dll C:\WINDOWS\system32\ljjjjkh.dll C:\WINDOWS\system32\ljjkhef.dll C:\WINDOWS\system32 nnkkhi.dll C:\WINDOWS\system32 vs2.inf C:\WINDOWS\system32\opnnkig.dll C:\WINDOWS\system32\qomljii.dll C:\WINDOWS\system32 qrpppn.dll C:\WINDOWS\system32\ssqpqrr.dll C:\WINDOWS\system32 qlqyjtdh.dat c:\windows\system32 qlqyjtdh.exe C:\WINDOWS\system32 qlqyjtdh_nav.dat c:\WINDOWS\system32 qlqyjtdh_navps.dat C:\WINDOWS\system32\xxywwxy.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE ((((((((((((((((((((((((((((( Fichiers créés 2007-09-27 to 2007-10-27 )))))))))))))))))))))))))))))))))))) . 2007-10-27 18:58 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-27 17:21 d-------- C:\VundoFix Backups 2007-10-27 16:49 d-------- C:\Program Files\Panda Security 2007-10-27 15:43 d-------- C:\Program Files\Hijackthis Version Française 2007-10-27 13:15 d-------- C:\Program Files\Trend Micro 2007-10-24 16:36 582,656 -----c--- C:\WINDOWS\system32\dllcache pcrt4.dll 2007-10-24 10:23 d-------- C:\Documents and Settings\Administrateur.PRUVOT\Modèles 2007-10-20 16:18 d-------- C:\Program Files\MSECache . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-27 18:36 --------- d-----w C:\Program Files\Wanadoo 2007-10-17 18:36 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-09-16 17:51 --------- d-----w C:\Documents and Settings\magali.PRUVOT\Application Data\Hewlett-Packard 2007-09-12 19:03 --------- d-----w C:\Program Files\SAGEM 2007-09-12 17:59 --------- d-----w C:\Program Files\Securitoo 2007-09-12 17:41 --------- d-----w C:\Program Files\Kaspersky Lab 2007-09-12 15:30 --------- d-----w C:\Documents and Settings\philippe\Application Data\vlc 2007-09-12 15:28 --------- d-----w C:\Program Files\VideoLAN 2007-09-12 15:26 --------- d-----w C:\Program Files\Alcohol Soft 2007-09-12 15:20 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-07-30 15:17 705,315 ----a-w C:\winbash.exe 2007-07-27 07:11 705,315 ----a-w C:\wincrt.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D74BF9B-F4D3-420B-B27A-9E7DCBA5CF71}] C:\WINDOWS\system32\ddcdc.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F3F18668-6B32-4CCA-BC65-C5DBC224B072}] C:\WINDOWS\system32\uupnovqs.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [2002-08-28 11:17 C:\WINDOWS\system32\Ati2mdxx.exe] "CARPService"="carpserv.exe" [2003-03-06 10:50 C:\WINDOWS\system32\carpserv.exe] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-05-15 21:10] "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2003-01-09 12:46] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2003-01-09 12:45] "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-08-28 11:47] "OfficeGuard RegChecker"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" [2001-09-12 15:33] "AVPCC"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" [2003-09-08 13:53] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2006-05-23 09:15] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55] "LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 01:03] "LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 21:58] "Spyware-Secure"="C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Spyware Cleaner"="C:\Program Files\Spyware Cleaner\SpywareCleaner.exe" [] "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09] R1 SSHDRV76;SSHDRV76;\??\C:\WINDOWS\System32\drivers\SSHDRV76.sys S2 AVPCC;AVP Control Centre Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service S2 KAVMonitorService;KAV Monitor Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service S3 AMDMSRIO;AMDMSRIO;\??\C:\DOCUME~1\magali\LOCALS~1\Temp\Safe To Delete 3_0_3_5\AMDMSRIO.sys S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2004-11-30 21:07:38 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1084390208.job" - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-27 20:53:57 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-27 20:56:17 - machine was rebooted . --- E O F ---

kessya2002 · Answer

Bonsoir,

Quelqu'un peut il m'aider à l'analyse du combofix ci dessus.

Merci

philae83 · Answer

bonsoir TLM

c'est ici que tu dois continuer et non sur celui ci :
http://www.commentcamarche.net/forum/affich 3883468 combofix demande d analyse#0

kessya2002 · Answer

ok, je suis désolée du désagrément mais comme j'avais commencé avec qq'un qui n'est plus connecté, je n'avais plus aucune réponse. Pourrais tu prendre le relai ? Merci d'avance

kessya2002 · Answer

Je n'ai aucune réponse, je suis bloquée depuis 21 H 10

did71 · Answer

Bonsoir, 

je prends le relais!

1) * Télécharge VundoFix.exe (par Atribune) sur ton Bureau:

http://www.atribune.org/public-beta/VundoFix.exe

* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

2) Télécharge Catchme de Gmer : http://www2.gmer.net/catchme.php sur le bureau

Double clique sur le fichier catchme.exe pour le lancer, il ne nécessite pas d'installation.
Une fenêtre DOS va s'ouvrir, laisse travailler le scan qui dure quelques instants.
Quand tu vois scan completed successfully tu fermes la fenêtre!
Un rapport catchme.log sera créé, poste-le pour analyse des résultats.


a+

philae83 · Answer

écoute, tu n'es pas la seule à avoir besoin d'aide, et les membres helpers qui officient ici ont également une vie à côté de leur pc. Un peu de patience stp merci
nous faisons du bénévolat et cela a tendance a être un peu oublié. :)

kessya2002 · Answer

Message pour Philae, je suis totalement consciente du fait que les gens que je qualifie de médecin du net sont très performants et je suis très reconnaissante de l'aide que chacun y compris toi peuvent m'apporter sur ce forum. J'ai peut être un peu insisté sur la demande d'aide mais comme je te l'ai dit, j'ai été prise en charge par une personne que je remercie vivement et comme tu le dis qui du fait de sa vie privée a certainement du se déconnecter. le problème c'est que du coup depuis 21 H j'étais en plan... c'est pourquoi comme tu le sais je me suis permise de reposter sur le meme sujet.
En tout cas merci pour tout

did71 · Answer

re,

et moi, je demande des rapports pour rien!!!!

Faut arrêter!


a+

philae83 · Answer

re bonsoir

fait ce que did71 te demande puisqu'il a pris le relais

kessya2002 · Answer

En ce qui concerne vundo ras... rien trouvé je l'avais déjà fait au début du post et il m'avait viré plein de truc (veux tu le rapport ?) sinon tu le trouveras plus haut.

Pour ce qui est de catch me... voici la réponse merci

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

kessya2002 · Answer

did71, j'ai eu ton message après ma réponse pour rappel mon ordi est assez lent et entre temps je suis allée sur mappy j'ai de la route à faire demain Ne le prends pas comme ça je suis preneuse de ton guide

kessya2002 · Answer

bonne nuit

did71 · Answer

re,

 Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en gras ci-dessous, (copie tout d'un trait) : 

REGEDIT4 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D74BF9B-F4D3-420B-B27A-9E7DCBA5CF71}]


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F3F18668-6B32-4CCA-BC65-C5DBC224B072}]



Puis "fichier"enregistrer sous" : 
dans : sur le bureau 
Nom du fichier : fix.reg 
Type de fichier : "tous les fichiers" 
clique sur "enregistrer" 

double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui" 

a+

Utilisateur anonyme · Answer

re,
salut à tous....
On reprend donc....
avec Combofix ceci a été viré ! (pas mal)
--------------------------------------
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\hosts
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\awtuutq.dll
C:\WINDOWS\system32\byxusro.dll
C:\WINDOWS\system32\efcbbax.dll
C:\WINDOWS\system32\fccabxx.dll
C:\WINDOWS\system32\gebawtu.dll
C:\WINDOWS\system32\gebbyyw.dll
C:\WINDOWS\system32\khffdcd.dll
C:\WINDOWS\system32\ljjgfed.dll
C:\WINDOWS\system32\ljjhhij.dll
C:\WINDOWS\system32\ljjjjkh.dll
C:\WINDOWS\system32\ljjkhef.dll
C:\WINDOWS\system32
nnkkhi.dll
C:\WINDOWS\system32
vs2.inf
C:\WINDOWS\system32\opnnkig.dll
C:\WINDOWS\system32\qomljii.dll
C:\WINDOWS\system32qrpppn.dll
C:\WINDOWS\system32\ssqpqrr.dll
C:\WINDOWS\system32	qlqyjtdh.dat
c:\windows\system32	qlqyjtdh.exe
C:\WINDOWS\system32	qlqyjtdh_nav.dat
c:\WINDOWS\system32	qlqyjtdh_navps.dat
C:\WINDOWS\system32\xxywwxy.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))
----------------------------------------------------------------------------------------------------------------------------------------------
Ce qui en soi est une bonne chose !
Bien on continue,
---------------------------------------------------->>>>

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe 
-------------------------------------------------------
stoppe ce service:-->France Telecom Routing Table Service (FTRTSVC) 
https://leblogdeclaude.blogspot.com/2007/07/comment-stopper-un-service.html
-----------------------------
je voudrais voir un rapport BTFix.exe
https://leblogdeclaude.blogspot.com/2007/10/procdure-btfix.html
postes le rapport BTFix, +'un nouveau rapport Hijackthis.

kessya2002 · Answer

Bonjour, voici les résultats. Merci d'être revenu !

Logfile of HijackThis v1.99.1
Scan saved at 09:14:20, on 28/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\system32\mmc.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D74BF9B-F4D3-420B-B27A-9E7DCBA5CF71} - C:\WINDOWS\system32\ddcdc.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F3F18668-6B32-4CCA-BC65-C5DBC224B072} - C:\WINDOWS\system32\uupnovqs.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://www.msnjeux.com/online2/MSN_INTL_FRANCE/feeding_frenzy/SproutLauncher.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing)
--------------------------------------------------------------------------------------------------------------------------------------------------
BTFix 1.055 (par bibi26) - 28/10/2007 09:11:53 - Analyse
Lancé depuis C:\Documents and Settings\magali\Bureau\btfix\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

 - C:\DBBackup
 - C:\WINDOWS\smdat32m.sys
 - C:\WINDOWS\smdat32a.sys
 - C:\Program Files\Need2Find
 - C:\Program Files\INSTAFINK

---> Analyse terminée

Utilisateur anonyme · Answer

Bien,
fais donc "nettoyer" avec BTFIX
refais une recherche avant !
essayes en mode normal, si ça ne va pas pas fait la même chose en mode sans échec.
postes le rapport

kessya2002 · Answer

En mode sans echec

voila ce que ca donne

BTFix 1.055 (par bibi26) - 28/10/2007 09:34:45 - Nettoyage - Mode sans échec
Lancé depuis C:\Documents and Settings\magali\Bureau\btfix\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés

 - Fichiers temporaires effacés
 - C:\DBBackup
 - C:\WINDOWS\smdat32m.sys
 - C:\WINDOWS\smdat32a.sys
 - C:\Program Files\Need2Find
 - C:\Program Files\INSTAFINK

---> Nettoyage terminé

kessya2002 · Answer

Re

J'ai encore un soucis j'ai des messages de virus style :

Trojan-spy.win32.VB.Stat.h
winpga.exe/script.au3
et encore d'autres !

Utilisateur anonyme · Answer

Bien, on avance....mais si je puis permettre, ton PC est salement atteint !
Faudra revoir ta protection résidente, ça m'a l'air d'être une vraie passoire à la lumière de ce que l'on a déjà viré !
Mais nous n'en sommes pas là, pour le moment.
télécharges ceci:
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
Ouvre le dossier « clean » qui se trouve sur ton bureau.
Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaitre, suis les consignes
postes le rapport

kessya2002 · Answer

Je ne sais pas si c'est le bon rapport dis moi car je l'ai copié directement quand le rapport s'est ouvert et quand j'ai redémarré en mode normal il n'a pas gardé en mémoire ma copie de rapport... donc je suis allée recherché un upload... j'ai de plus en plus de mal à me connecter c'est pourquoi je mets du temps a répondre


C:\WINDOWS\System32\MRT.exe -->27/09/2007 21:19:40
C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 18:19:16
C:\WINDOWS\System32	zchange.exe -->18/07/2007 13:42:22
C:\WINDOWS\System32\cbxvspq.exe -->15/07/2007 08:58:53
C:\WINDOWS\System32\inetcomm.dll -->21/08/2007 07:17:23
C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 18:19:52
C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 18:19:42
C:\WINDOWS\System32\wuapi.dll -->30/07/2007 18:19:36
C:\WINDOWS\System32\wucltui.dll -->30/07/2007 18:19:32
C:\WINDOWS\System32\wuweb.dll -->30/07/2007 18:19:28
C:\WINDOWS\System32\cdm.dll -->30/07/2007 18:19:20
C:\WINDOWS\System32\wups2.dll -->30/07/2007 18:19:12
C:\WINDOWS\System32\wucltui.dll.mui -->30/07/2007 18:19:04
C:\WINDOWS\System32\wuaueng.dll.mui -->30/07/2007 18:18:48
C:\WINDOWS\System32\wups.dll -->30/07/2007 18:18:40

Utilisateur anonyme · Answer

quoiqu'il en soit fait l'option 2 cd clean.cmd
Postes le rapport

kessya2002 · Answer

je l'ai refait autant pour moi je n'avais pas enregistré le rapport voici

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 28/10/2007 a 13:09:38,20 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
*** Fin du rapport !

kessya2002 · Answer

Juste pour info, j'ai installé spybot car kapersky était désactivé sur cet ordinateur (celui de ma soeur :-) ! je suis en train de faire un scan spybot il trouve pleins de logiciels espions...

kessya2002 · Answer

Bonjour
Quelqu'un pourrait prendre le relais ? je suis bloquée mon dépanneur est a juste titre absent Merci

Utilisateur anonyme · Answer

" j'ai installé spybot car kapersky était désactivé sur cet ordinateur"
je ne vois pas le rapport entre les deux ?
je ne suis plus là--->
"J'ai encore un soucis j'ai des messages de virus style : "
Trojan-spy.win32.VB.Stat.h
winpga.exe/script.au3
et encore d'autres !
si tu me dis que ton antivirus est désactivé !
-----------------------------------------------------------------
à ce propos, tu dois avoir un antivirus acif et un fire-wall.
Tu as quoi , au juste ?

kessya2002 · Answer

spybot 
et là je n'arrive plus a lancer les pages internet depuis orange. je me connecte mais la page ne s'affiche plus... je passe par ie

Utilisateur anonyme · Answer

à mon avis tu t'en rammase à la pelle...si tu as spybot  !
c'est pas un antivirus !
De plus tu n'as pas l'air d'avoir un fire-wall.
lis ceci attentivement.
https://leblogdeclaude.blogspot.com/2006/10/informatique-comment-se-protger-si-on.html
Il y a le lien pour antivirus et fire-wall...sans ça tu cour à la catastrophe...
si tu sais encore le faire, fais ceci:
http://support.f-secure.fr/fra/home/ols.shtml
tuto ici
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId974416

Hijack demande d'aide

47 réponses

Votre réponse

Discussions similaires

Newsletters