INTERNET SPEED MONITORRésolu/Fermé

Question

Bonjour,
 Franchement je ne m'en sors pas avec internet speed monitor.
D'abord j'ai eu le virus dance jpg
et depuis j'ai celui là et je n'arrive pas à m'en débarasser

j'ai téléchargé hijackthis comme vous l'avez conseillé et j'obtiens le fichier suivant : 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28:33, on 02/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows NT\hory77798.exe
C:\Program Files\Fichiers communs\PasenDommagement\mc.exe
C:\WINDOWS\TEMP\loader.exe
C:\WINDOWS\system32egsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\QdrPack\QdrPack10.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\wlancfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetelportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {411125f8-65a9-45f4-8691-6eb69dad9efc} - C:\WINDOWS\system32\phxphph.dll
O2 - BHO: (no name) - {9533ff00-1dd1-11b2-aec8-b6f114294cb2} - C:\WINDOWS\otufsxsj.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [hory] C:\Program Files\Windows NT\hory77798.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\PasenDommagement\mc.exe" dm=http://pasendommagement.com; ad=http://pasendommagement.com
O4 - HKLM\..\Run: [WinPerfMon] C:\WINDOWS\TEMP\loader.exe
O4 - HKLM\..\Run: [nqngnara] regsvr32 /u "C:\Documents and Settings\All Users\Application Data
qngnara.dll"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [PasenDommagement] C:\Program Files\PasenDommagement\GDC.exe
O4 - HKCU\..\Run: [QdrPack10] "C:\Program Files\QdrPack\QdrPack10.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Gestionnaire de connexions d'accès distant RasManClipSrv (RasManClipSrv) - Unknown owner - C:\WINDOWS\system32\amcompatp.exe

rudyrital · Answer

salut, tu n'as ni parfeu ni antivirus ????

japyday · Answer

Bonjour,
merci de regarder mon message : je viens de me reconnecter : excusez moi mais des copains sont passés
J'ai un anti virus perimé et je crois que le pare feu est désactivé

rudyrital · Answer

je ne vois aucun antivirus, meme perimé !

commence par installer un antivirus, avast 4 

Télécharge et installe Avast à partir de ce lien. Il faut que tu demandes un numéro à Avast : 
http://www.commentcamarche.net/telecharger/telecharger 151 avast

japyday · Answer

Normalement j'ai symantec d'installé
Il faut d'abord que je le désinstalle ?

rudyrital · Answer

si il est perimé et que tu ne compte pas payer pour l'avoir oui, le plus simple et de faire ceci (lit bien avant de l'utilise, il supprime tout ce qui a un rapport avec norton de symantec:

 Désinstalleur Norton: 
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

apres tu poura installer avast4 qui est gratuit , ou acheter un bon antivirus moyennant 50 a 70 euros, ca c'est toi qui voit :)

japyday · Answer

Merci beaucoup !!
OK je vais m'en occuper : je désinstalle symantec et j'installe AVAST ! Ca fera déà un problème de réglé !!

rudyrital · Answer

ok, apres remet moi un nouveau log hijackthis et on attaquera la desinfection :=)

japyday · Answer

Un souci : je sais ps ce que j'ai de norton autre que symantec sur mon micro, vu que c'est un copain qui m'a installé tout ça.
Si je désinstalle symantec, ça risque quelque chose (d'autre) ??

rudyrital · Answer

non , aucun soucis tu peux sans probleme ,

japyday · Answer

voilà ce que j'obtiens

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:09, on 02/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\wlancfg.exe
C:\Program Files\Windows NT\hory77798.exe
C:\Program Files\Fichiers communs\PasenDommagement\mc.exe
C:\WINDOWS\TEMP\loader.exe
C:\WINDOWS\system32egsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\QdrPack\QdrPack10.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\Répertoire temporaire 2 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetelportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {411125f8-65a9-45f4-8691-6eb69dad9efc} - C:\WINDOWS\system32\phxphph.dll
O2 - BHO: (no name) - {9533ff00-1dd1-11b2-aec8-b6f114294cb2} - C:\WINDOWS\otufsxsj.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [hory] C:\Program Files\Windows NT\hory77798.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\PasenDommagement\mc.exe" dm=http://pasendommagement.com; ad=http://pasendommagement.com
O4 - HKLM\..\Run: [WinPerfMon] C:\WINDOWS\TEMP\loader.exe
O4 - HKLM\..\Run: [nqngnara] regsvr32 /u "C:\Documents and Settings\All Users\Application Data
qngnara.dll"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [PasenDommagement] C:\Program Files\PasenDommagement\GDC.exe
O4 - HKCU\..\Run: [QdrPack10] "C:\Program Files\QdrPack\QdrPack10.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Gestionnaire de connexions d'accès distant RasManClipSrv (RasManClipSrv) - Unknown owner - C:\WINDOWS\system32\amcompatp.exe

rudyrital · Answer

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

japyday · Answer

resultat :

Search Navipromo version 3.3.6 commencé le 02/12/2007 à 20:03:25,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Christine\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\CHRIST~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\CHRIST~1\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !


*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 02/12/2007 à 20:03:56,35 ***

japyday · Answer

encore du monde à la porte !! désolée, ad taleur

rudyrital · Answer

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. 
Au menu principal, choisis 2 et valide. 

Le fix va t'informer qu'il va alors redémarrer ton PC 
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 
Le blocnote va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver 
Referme le blocnote. Ton bureau va réapparaitre 

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Celà te fera apparaitre ton bureau.

japyday · Answer

j'ai tout fait et ça a bien redemarré
mon ordi me dit toujours que j'ai pas d'anti virus. C'est normal?
Faut-il que je fasse queelque chose pour le pare feu ?
merci

japyday · Answer

J'ai toujours des fenêtres internet speed monitor !!
quel désastre ce truc !!

rudyrital · Answer

tu ne m'as pas envoyé le second raport !

japyday · Answer

second rapport (excuse moi !!)

Clean Navipromo version 3.3.6 commencé le 02/12/2007 à 20:54:13,29

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\CHRIST~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Christine\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Christine\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !

*** Nettoyage terminé le 02/12/2007 à 20:56:16,46 ***

rudyrital · Answer

Tu vas télécharger SmitFraudFix : 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

Suis ces procédures: 

Double-clique sur smitfraudfix.exe 
Sélectionne 1 (MAIS SURTOUT PAS LE 2 JE TE DIRAIS QUAND TU POURRA LE FAIRE ) puis appuie "entrer" ensuite un rapport sera généré dans ce chemin : 

C:\rapport.txt 

Puis tu le colle dans ton prochain post 

Remarque: 

Faux positif: 
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 
http://www.beyondlogic.org/consulting/processutil/processutil.htm

japyday · Answer

NOUVEAU RAPPORT

SmitFraudFix v2.257

Rapport fait à 22:05:11,84, 02/12/2007
Executé à partir de C:\Program Files\Fichiers communs\System\MSMAPI\1036\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows NT\hory77798.exe
C:\Program Files\Fichiers communs\PasenDommagement\mc.exe
C:\WINDOWS\TEMP\loader.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\QdrPack\QdrPack10.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wlancfg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Christine


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Christine\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CHRIST~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WLAN miniUSB Adapter #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8D371772-E84E-4353-80E5-B1B7E95CFFC5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8D371772-E84E-4353-80E5-B1B7E95CFFC5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8D371772-E84E-4353-80E5-B1B7E95CFFC5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

rudyrital · Answer

Télécharge ceci: (by Moe) : 

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe 

Double clic sur Lopxpsetup.exe pour lancer l'installation 
Au menu, choisir l'option 1 
Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer ! 
Une rapport sera alors crée, à copie/colle en entier sur le forum.

japyday · Answer

NOUVEAU RAPPORT


Rapport Lopxp fait le 02/12/2007 à 22:11:30
Exécuté dans : C:\Program Files\Lopxp


Liste des processus actifs :

PID : 376 C:\WINDOWS\System32\smss.exe
PID : 616 C:\WINDOWS\system32\csrss.exe
PID : 640 C:\WINDOWS\system32\winlogon.exe
PID : 684 C:\WINDOWS\system32\services.exe
PID : 696 C:\WINDOWS\system32\lsass.exe
PID : 852 C:\WINDOWS\system32\svchost.exe
PID : 908 C:\WINDOWS\system32\svchost.exe
PID : 1000 C:\WINDOWS\System32\svchost.exe
PID : 1040 C:\WINDOWS\System32\svchost.exe
PID : 1104 C:\WINDOWS\System32\svchost.exe
PID : 1480 C:\WINDOWS\Explorer.EXE
PID : 1576 C:\WINDOWS\system32\spoolsv.exe
PID : 1680 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
PID : 1856 C:\WINDOWS\system32\svchost.exe
PID : 496 C:\WINDOWS\system32\wscntfy.exe
PID : 224 C:\Program Files\QuickTime\qttask.exe
PID : 2028 C:\Program Files\MessengerPlus! 3\MsgPlus.exe
PID : 176 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
PID : 268 C:\Program Files\Windows NT\hory77798.exe
PID : 332 C:\Program Files\Fichiers communs\PasenDommagement\mc.exe
PID : 456 C:\WINDOWS\TEMP\loader.exe
PID : 464 C:\WINDOWS\system32egsvr32.exe
PID : 476 C:\WINDOWS\system32\ctfmon.exe
PID : 556 C:\Program Files\QdrPack\QdrPack10.exe
PID : 520 C:\Program Files\Messenger\msmsgs.exe
PID : 1988 C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
PID : 1028 C:\WINDOWS\System32\svchost.exe
PID : 1904 C:\WINDOWS\wlancfg.exe
PID : 3312 C:\Program Files\Internet Explorer\IEXPLORE.EXE
PID : 4020 C:\WINDOWS\System32\svchost.exe
PID : 3324 C:\Program Files\MSN Messenger\msnmsgr.exe
PID : 2384 C:\Program Files\MSN Messenger\usnsvc.exe
PID : 180 C:\WINDOWS\system32\cmd.exe
PID : 2900 C:\Program Files\Lopxp	ools\pv.exe



___________________________________________________________________________

[Tâches planifiées]



___________________________________________________________________________

[Listing des dossiers Application Data]


cr: Date Création | mo: Date Modification -=- Nom Long -= Nom Court (8.3)


+- C:\Documents and Settings\All Users\Application Data

cr: 22/08/2006 17:36:36 | mo: 22/08/2006 17:36:36 -=- Adobe ----= Adobe
cr: 28/07/2006 17:56:16 | mo: 28/07/2006 17:56:17 -=- ENTERN~1 -= EnterNHelp
cr: 10/08/2006 12:54:51 | mo: 10/08/2006 12:54:51 -=- MACROV~1 -= Macrovision
cr: 04/08/2006 19:03:30 | mo: 04/08/2006 19:03:30 -=- MESSEN~1 -= Messenger Plus!
cr: 26/06/2006 20:34:25 | mo: 17/08/2006 13:11:43 -=- MICROS~1 -= Microsoft
cr: 29/06/2006 20:19:45 | mo: 29/06/2006 20:19:45 -=- MSN6 -----= MSN6
cr: 28/07/2006 17:47:45 | mo: 30/07/2006 17:48:32 -=- QUICKT~1 -= QuickTime
cr: 16/11/2007 13:32:28 | mo: 16/11/2007 13:32:28 -=- SALESM~1 -= SalesMonitor
cr: 27/06/2006 17:33:12 | mo: 02/12/2007 19:49:11 -=- Symantec -= Symantec
cr: 28/07/2006 17:56:17 | mo: 28/07/2006 17:56:17 -=- ULTIMA~1 -= Ultima_T15
cr: 08/07/2006 12:41:30 | mo: 08/07/2006 12:41:30 -=- WINDOW~1 -= Windows Genuine Advantage

+- C:\Documents and Settings\Christine\Application Data

cr: 27/06/2006 17:31:41 | mo: 22/08/2006 10:17:49 -=- Adobe ----= Adobe
cr: 15/08/2006 13:20:10 | mo: 08/02/2007 17:03:22 -=- AdobeUM --= AdobeUM
cr: 28/07/2006 18:14:08 | mo: 28/07/2006 18:14:17 -=- ArcSoft --= ArcSoft
cr: 23/09/2006 18:12:17 | mo: 23/09/2006 18:12:17 -=- Help -----= Help
cr: 26/06/2006 20:12:39 | mo: 26/06/2006 20:12:39 -=- IDENTI~1 -= Identities
cr: 04/08/2006 21:56:25 | mo: 04/08/2006 21:56:25 -=- MACROM~1 -= Macromedia
cr: 26/06/2006 20:12:28 | mo: 03/05/2007 15:46:04 -=- MICROS~1 -= Microsoft
cr: 29/06/2006 20:19:45 | mo: 04/11/2007 21:10:37 -=- MSN6 -----= MSN6
cr: 28/07/2006 17:49:47 | mo: 24/09/2006 17:24:09 -=- Nikon ----= Nikon
cr: 16/11/2007 13:37:02 | mo: 16/11/2007 13:37:02 -=- PASEND~1 -= PasenDommagement
cr: 15/05/2007 19:59:27 | mo: 15/05/2007 19:59:27 -=- Sun ------= Sun
cr: 29/06/2006 19:40:06 | mo: 29/06/2006 19:40:06 -=- vlc ------= vlc
cr: 11/11/2007 16:35:03 | mo: 11/11/2007 16:35:55 -=- WinTouch -= WinTouch

+- C:\Documents and Settings\Christine\Local Settings\Application Data

cr: 27/06/2006 17:31:41 | mo: 27/06/2006 17:31:52 -=- Adobe ----= Adobe
cr: 23/09/2006 18:12:17 | mo: 23/09/2006 18:12:17 -=- Help -----= Help
cr: 29/06/2006 20:10:41 | mo: 29/06/2006 20:10:41 -=- IDENTI~1 -= Identities
cr: 26/06/2006 20:12:28 | mo: 14/09/2007 21:14:02 -=- MICROS~1 -= Microsoft
cr: 04/08/2006 22:07:38 | mo: 04/08/2006 22:07:38 -=- Pixology -= Pixology
cr: 28/06/2006 20:29:41 | mo: 28/06/2006 20:29:41 -=- Symantec -= Symantec

___________________________________________________________________________

[Listing du dossier Program Files]

+- C:\Program Files

cr: 27/06/2006 17:28:56 | mo: 27/06/2006 17:28:56 -=- Adobe ----= Adobe
cr: 27/06/2006 17:35:02 | mo: 27/06/2006 17:35:07 -=- Ahead ----= Ahead
cr: 28/07/2006 17:47:20 | mo: 28/07/2006 17:47:20 -=- ArcSoft --= ArcSoft
cr: 10/08/2006 12:49:47 | mo: 10/08/2006 13:04:09 -=- Boonty ---= Boonty
cr: 10/08/2006 12:49:43 | mo: 10/08/2006 12:56:35 -=- BOONTY~1 -= BoontyGames
cr: 27/06/2006 17:36:52 | mo: 27/06/2006 17:36:55 -=- CCleaner -= CCleaner
cr: 26/06/2006 19:45:57 | mo: 26/06/2006 19:45:57 -=- COMPLU~1 -= ComPlus Applications
cr: 26/06/2006 20:35:17 | mo: 16/11/2007 13:32:15 -=- FICHIE~1 -= Fichiers communs
cr: 29/06/2006 18:27:05 | mo: 28/07/2006 17:50:08 -=- INSTAL~1 -= InstallShield Installation Information
cr: 26/06/2006 19:46:49 | mo: 16/10/2007 08:27:08 -=- INTERN~1 -= Internet Explorer
cr: 29/06/2006 18:05:52 | mo: 29/06/2006 18:05:52 -=- Inventel -= Inventel
cr: 27/06/2006 17:33:12 | mo: 08/02/2007 17:39:29 -=- IRFANV~1 -= IrfanView
cr: 15/05/2007 19:58:04 | mo: 22/11/2007 19:38:09 -=- Java -----= Java
cr: 01/05/2007 17:10:43 | mo: 01/05/2007 17:10:43 -=- LEXASO~1 -= Lexa software
cr: 02/12/2007 22:09:45 | mo: 02/12/2007 22:11:34 -=- Lopxp ----= Lopxp
cr: 10/08/2006 12:50:25 | mo: 10/08/2006 12:53:33 -=- MESJEU~1 -= Mes Jeux Téléchargés
cr: 26/06/2006 19:45:36 | mo: 30/06/2006 12:35:00 -=- MESSEN~1 -= Messenger
cr: 04/08/2006 17:56:51 | mo: 28/11/2006 09:00:58 -=- MESSEN~2 -= MessengerPlus! 3
cr: 26/06/2006 19:51:07 | mo: 26/06/2006 19:51:07 -=- MICROS~1 -= microsoft frontpage
cr: 26/06/2006 20:19:19 | mo: 26/06/2006 20:20:20 -=- MICROS~2 -= Microsoft Office
cr: 26/06/2006 20:20:54 | mo: 26/06/2006 20:20:54 -=- MICROS~1.NET -= Microsoft.NET
cr: 26/06/2006 19:48:00 | mo: 27/06/2006 17:19:38 -=- MOVIEM~1 -= Movie Maker
cr: 26/06/2006 19:45:26 | mo: 26/06/2006 19:45:45 -=- MSN ------= MSN
cr: 26/06/2006 19:45:11 | mo: 26/06/2006 19:45:11 -=- MSNGAM~1 -= MSN Gaming Zone
cr: 13/08/2006 10:32:23 | mo: 14/09/2007 20:23:37 -=- MSNMES~1 -= MSN Messenger
cr: 02/12/2007 20:02:40 | mo: 02/12/2007 20:56:16 -=- Navilog1 -= Navilog1
cr: 26/06/2006 19:47:13 | mo: 27/06/2006 17:17:01 -=- NETMEE~1 -= NetMeeting
cr: 28/07/2006 17:48:26 | mo: 28/07/2006 17:49:13 -=- Nikon ----= Nikon
cr: 26/06/2006 19:47:04 | mo: 13/06/2007 21:41:19 -=- OUTLOO~1 -= Outlook Express
cr: 15/11/2007 20:07:18 | mo: 02/12/2007 16:53:04 -=- QdrPack --= QdrPack
cr: 28/07/2006 17:47:46 | mo: 28/07/2006 17:48:10 -=- QUICKT~1 -= QuickTime
cr: 22/09/2007 18:15:09 | mo: 22/09/2007 18:15:12 -=- SCRABB~1.7 -= scrabbleproB1.0.7
cr: 26/06/2006 19:45:45 | mo: 26/06/2006 19:48:50 -=- SERVIC~1 -= Services en ligne
cr: 28/06/2006 20:28:13 | mo: 02/12/2007 19:49:17 -=- Symantec -= Symantec
cr: 28/06/2006 20:27:54 | mo: 02/12/2007 19:49:11 -=- SYMANT~1 -= Symantec AntiVirus
cr: 26/06/2006 20:12:33 | mo: 26/06/2006 20:12:33 -=- UNINST~1 -= Uninstall Information
cr: 29/06/2006 18:27:06 | mo: 29/06/2006 18:27:07 -=- UTILIT~1.11B -= Utilitaire WLAN (USB) IEEE 802.11b
cr: 28/06/2006 20:23:55 | mo: 28/06/2006 20:23:55 -=- VIATEC~1 -= VIA Technologies, Inc
cr: 27/06/2006 17:32:36 | mo: 27/06/2006 17:32:36 -=- VideoLAN -= VideoLAN
cr: 26/06/2006 19:47:19 | mo: 30/06/2006 12:34:33 -=- WINDOW~3 -= Windows Media Player
cr: 26/06/2006 19:44:54 | mo: 16/11/2007 11:33:19 -=- WINDOW~1 -= Windows NT
cr: 26/06/2006 19:45:45 | mo: 29/06/2006 18:48:18 -=- WINDOW~2 -= WindowsUpdate
cr: 27/06/2006 17:32:00 | mo: 12/11/2007 18:50:30 -=- WinRAR ---= WinRAR
cr: 26/06/2006 19:51:07 | mo: 26/06/2006 19:51:07 -=- xerox ----= xerox

___________________________________________________________________________

[Recherche programmes connus, liés à CiD]


C:\Program Files\MessengerPlus! 3


___________________________________________________________________________

[Clés registre de démarrage]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   nqngnara	REG_SZ         	regsvr32 /u "C:\Documents and Settings\All Users\Application Data
qngnara.dll"

___________________________________________________________________________

[Popups autorisés]


[-] Internet Explorer :

*.starsdoor.com

[-] Mozilla Firefox

[-] Suite Mozilla / SeaMonkey


___________________________________________________________________________

[Suggestion nettoyage registre] 


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nqngnara"=-



- Fin du rapport -

rudyrital · Answer

Lance Lopxp.bat.
Au menu, choisis l'option 2 "mode avancé"
puis option 1 "Suppression P2P "
Patiente et lorsque l'on te demande d'appuyer sur une touche, appuie.
Ensuite, le rapport s'ouvre, copie colle le en entier sur le forum.

japyday · Answer

je ne trouve pas loxp.bat

rudyrital · Answer

pareil que pour le rapport precedent sauf que tu fait l'option 2

japyday · Answer

j'ai que
1 generer un rapport
2 quitter

japyday · Answer

Faut que je laisse ma place... on a un micro pour deux et elle en a besoin pour faire des trucs urgents our demain
Si tu peux, dis moi ce qu'il faut faire et je le ferai demain en rentrant du boulot 
En tout cas merci beaucoup pour le temps que tu as passé ce soir et j'espère que l'on pourra résoudre demain
T'es très sympa, rudyrital

rudyrital · Answer

je mange et je reviens plus tard ;)

rudyrital · Answer

essais de faire la methode decrite ici : 
http://www.commentcamarche.net/faq/sujet 5996 comment bloquer les fenetres cid

japyday · Answer

ca veut dire quoi démarrer en mode sans echec (excuse mais je suis nulle !)

rudyrital · Answer

désolé ;)

n'hesite pas a demander !

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

japyday · Answer

Quelle patience tu as !
bon, en mode sans echec, je suis aller sur ajout/suppr prog 

j'ai bien trouvé messenger plus 3 mais il me dit que le sponsor semble ne pas avoir été installé.
Je peux donc désinstaller le plus!
par contre j'ai un programme "internet speed montor" : peut-être que je peux le désinstaller ?

japyday · Answer

et je ne trouve pas de programme cid...

rudyrital · Answer

j'ai bien trouvé messenger plus 3 mais il me dit que le sponsor semble ne pas avoir été installé. 
Je peux donc désinstaller le plus! 

si pas de sponsor tu peux le garder !


par contre j'ai un programme "internet speed montor" : peut-être que je peux le désinstaller ?

oui tu peux ,

rudyrital · Answer

ensuite fait ceci :

fait un scan ici 
https://www.bitdefender.fr/ 

* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
* Dans la nouvelle fenêtre, clique sur j‘accepte
* Accepte le contrôle Active X et Installe le. Le scanner se charge
* La fenêtre change encore, clique sur ’cliquez ici pour scanner’
* Les signatures se chargent, etc. 

tuto en image : 
http://pageperso.aol.fr/rginformatique/mapage/defender.htm 

copie colle le résultat ici

japyday · Answer

peux pas le désinstaller : me dit que peut être déjà désinstallé

japyday · Answer

bitdefeder: impossiblede charger le scan on line

rudyrital · Answer

fait le scan avec le lien ci dessus

rudyrital · Answer

Etape 0 : vérifier l'absence de C:\Kasperky. Sinon, détruis le.

Étape 1: 
Télécharge eScan Antivirus Toolkit ici: 

http://www.spywareinfo.dk/download/mwav.exe 

Sauvegarde-le sur ton Bureau. 
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. 

Étape 2: 
Voici comment mettre l'outil à jour : 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads). 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants. 

Ne pas lancer le scan tout de suite ! 

Étape 3: 
Redémarre en mode Sans Échec : 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisi la première option : Sans Échec, et valide avec "Entrée" 
5) Choisi ton compte régulier, et non Administrateur 


Étape 4: 
Du mode Sans Échec, voici comment utiliser le programme : 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran. 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

japyday · Answer

rudyrital, là je craque !!!
je vais manger pour m e retaper un peu et juste après je fais tout ça !! en plus j'ai plus d'imprimante alors c'est la misère !!!!!!!!!!!!!!!!!!!!!
je fais ça tout  l'heure et je te tiens au courant
merci de ton aide, t'es hyper sympa

rudyrital · Answer

pas de soucis, le scan risque de durer alors au pire a demain ;)

japyday · Answer

J'imprime ça demain et je lance à midi ou le soir
Merci de ton aide
A demain
Bonne nuit

rudyrital · Answer

a demain :)

japyday · Answer

Ca a été long. Voici le rapport, ça me paraît grave !!! Là je vais bosser et je me reconnecte peut être à midi ou ce soir

1.EXE tagged as not-a-virus:AdWare.Win32.TTC.c. No Action Taken.
File C:\WINDOWS\system32\hostwl.exe infected by "Trojan-Spy.Win32.BZub.bqc" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Application Data\installer_fr[1].exe tagged as not-a-virus:Downloader.Win32.WinFixer.au. No Action Taken.
File C:\Documents and Settings\Christine\Application Data\WinTouch\WTUninstaller.exe infected by "Trojan-Downloader.Win32.Agent.buo" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Bureau\Navilog1.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\4OUC61G3\search1[2].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\4OUC61G3\search1[3].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\7905TY3U\search[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\A4FQ1KB5\search[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\A4FQ1KB5\search[3].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\A4FQ1KB5\search[4].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\E1CWQS1P\search[2].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\EUUI50YQ\search1[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\F0C4SKL2\search1[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\OKLCAELZ\search[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\OLYLKJ9Q\search1[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\PGRFAQC7\search1[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\PGRFAQC7\search1[3].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\PGRFAQC7\search[2].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\PGRFAQC7\search[3].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\SV90087V\search[3].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\T08AUZKA\search1[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\WOKZG983\search1[1].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\WOKZG983\search[3].htm infected by "Trojan-Downloader.JS.Remora.w" Virus. Action Taken: File Deleted.
File C:\i-1-1148.exe infected by "Trojan-Downloader.Win32.Small.gll" Virus. Action Taken: File Deleted.
File C:\Program Files\Fichiers communs\System\MSMAPI\1036\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\Program Files\Navilog1\reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\Program Files\Navilog1.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\Program Files\Windows NT\hory77798.exe tagged as not-a-virus:AdWare.Win32.TTC.c. No Action Taken.
File C:\Program Files\WinRAR\Dance_dec_jpg.zip infected by "Backdoor.Win32.SdBot.cha" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-484763869-220523388-1801674531-1003\Dc12.zip tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\RECYCLER\S-1-5-21-484763869-220523388-1801674531-1003\Dc14\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\RECYCLER\S-1-5-21-484763869-220523388-1801674531-1003\Dc15.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP287\A0016562.exe infected by "Trojan-Downloader.Win32.Small.gll" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP287\A0016563.exe infected by "Trojan-Downloader.Win32.Agent.fak" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP288\A0016596.dll tagged as not-a-virus:AdWare.Win32.PurityScan.gl. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP288\A0016603.exe tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP289\A0016643.exe tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP291\A0017686.exe tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP291\A0017694.exe infected by "Trojan-Downloader.Win32.Agent.fak" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP291\A0017695.exe infected by "Trojan-Downloader.Win32.Agent.fhv" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP291\A0017710.exe tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017746.com infected by "Backdoor.Win32.SdBot.cha" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017757.exe infected by "Trojan-Downloader.Win32.Small.gll" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017758.exe infected by "Trojan-Downloader.Win32.Agent.fhv" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017772.exe tagged as not-a-virus:AdWare.Win32.Agent.qi. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017773.exe infected by "Trojan.Win32.Agent.crf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017774.exe tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017775.exe infected by "Trojan-Downloader.Win32.Small.gll" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017776.exe tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017777.exe infected by "Trojan-Downloader.Win32.Agent.erf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017778.exe infected by "Trojan-Downloader.Win32.Agent.ezc" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017779.exe infected by "Trojan-Downloader.Win32.Agent.cbx" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017780.exe infected by "Trojan-Downloader.Win32.Agent.fjn" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017782.exe infected by "Backdoor.Win32.SdBot.cha" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017787.exe tagged as not-a-virus:AdWare.Win32.Agent.vu. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017793.exe tagged as not-a-virus:AdWare.Win32.Insider.a. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017794.exe infected by "Trojan-Downloader.Win32.Adload.ni" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017795.exe infected by "Trojan-Downloader.Win32.Agent.fhv" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017796.exe tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017798.exe infected by "Trojan-Downloader.Win32.Agent.fjv" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017799.exe infected by "Trojan-Downloader.Win32.Agent.erf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017800.exe infected by "Trojan-Downloader.Win32.Agent.ezc" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017801.exe infected by "Trojan-Downloader.Win32.Agent.cbx" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017802.exe infected by "Trojan-Downloader.Win32.Agent.fjn" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017804.exe tagged as not-a-virus:AdWare.Win32.TTC.c. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017805.exe infected by "Backdoor.Win32.SdBot.cha" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017814.exe tagged as not-a-virus:AdWare.Win32.Insider.a. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017815.exe infected by "Trojan-Downloader.Win32.Small.gll" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017816.exe tagged as not-a-virus:AdWare.Win32.Agent.qi. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017817.exe tagged as not-a-virus:AdWare.Win32.NetNucleus.b. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017818.exe infected by "Trojan-Downloader.Win32.Agent.fhv" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017819.exe tagged as not-a-virus:Dialer.Win32.Agent.z. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017822.exe infected by "Trojan-Downloader.Win32.Adload.ni" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP292\A0017823.exe infected by "Trojan.Win32.Agent.crf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP302\A0018574.exe tagged as not-a-virus:AdWare.Win32.Agent.vu. No Action Taken.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP305\A0018898.exe infected by "Trojan-Spy.Win32.BZub.bqc" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP305\A0018899.exe infected by "Trojan-Downloader.Win32.Agent.buo" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{75C14671-F8D2-4CBE-97D1-50A5F87DBCC1}\RP305\A0018900.exe infected by "Trojan-Downloader.Win32.Small.gll" Virus. Action Taken: File Deleted.

rudyrital · Answer

Télécharge « clean.zip » 
http://www.malekal.com/download/clean.zip 
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". 

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ). 
Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).


•- Ouvre le dossier « clean » qui se trouve sur ton bureau. 
•- Double-clic sur « clean.cmd ». 
Une fenêtre noire va apparaître, choisis l’option 2. 

Clean va travailler. 
•- Redémarre normalement 
•- Poste qui se trouve ici C:\rapport_clean.txt.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )






Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

japyday · Answer

J'avais hier des messages bizarres sur mon PC. Alors j'ai arrêté et je reprends ce matin depuis mon poste professionnel.
J'ai bien noté tout ce que tu as dit et je m'en occupe ce soir : j'espère que ça va tenir encore un peu !!
Merci et à ce soir

japyday · Answer

voici le premier rapport celui de clean :

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 06/12/2007 a 18:51:45,28 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 

Je m'occupe maintenant de sdfix

japyday · Answer

et maintenant le rapport sdfix



SDFix: Version 1.117

Run by Christine on 06/12/2007 at 19:11

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\PROGRA~1\WINDOW~1\HORY77~1.EXE - Deleted
C:\Documents and Settings\Christine\Application Data\WinTouch\wintouch.cfg - Deleted
C:\WINDOWS\Temp\qxr8.tmp.exe - Deleted
C:\WINDOWS\Temp\qxr8.tmp.exe - Deleted



Folder C:\Documents and Settings\Christine\Application Data\WinTouch - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-06 19:17:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\01\11-{4082F520-5754-81F9-B26B-BA8E0A6E4F99}-v1-{C2AD5FA8-E723-405B-91BF-F4229203A574}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\12\12-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v12-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1896 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\13\13-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v13-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1808 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\14\14-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v14-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1712 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\15\15-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v15-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1608 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\16\16-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v16-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1528 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\17\17-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v17-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v17-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1712 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\18\18-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v18-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v18-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1984 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\19\19-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v19-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v19-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1752 bytes hidden from API
C:\Documents and Settings\Christine\Local Settings\Application Data\Microsoft\Messenger\japyday@hotmail.fr\SharingMetadataousselc@hotmail.com\DFSR\Staging\CS{4082F520-5754-81F9-B26B-BA8E0A6E4F99}\20\20-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v20-{B08E1958-7CAC-4363-A8D3-21D55B9AAEDA}-v20-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 3920 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 10


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Internet Explorer\iexplore.exe"="C:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\WINDOWS\system32\hostwl.exe"="C:\WINDOWS\system32\hostwl.exe:*:Enabled:explorer"
"C:\WINDOWS\TEMP\qxr8.tmp.exe"="C:\WINDOWS\TEMP\qxr8.tmp.exe:*:Enabled:Enabled"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 27 Nov 2007        24,630 ..SHR --- "C:\WINDOWS\system32\amcompatp.exe"
Sat  1 Dec 2007       139,359 A..H. --- "C:\WINDOWS\system32\phxphph.dll"
Thu 29 Nov 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\825602f548d54de494879712d10e8261\BIT1.tmp"

Finished!

rudyrital · Answer

Rends toi sur ce site :
https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :  C:\WINDOWS\system32\amcompatp.exe


Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

fait de meme avec celui ci : C:\WINDOWS\system32\phxphph.dll

japyday · Answer

voila les résultats pour le premier fichier :

Fichier amcompat.tlb reçu le 2007.12.07 09:29:17 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.12.7.0 2007.12.07 - 
AntiVir 7.6.0.34 2007.12.07 - 
Authentium 4.93.8 2007.12.06 - 
Avast 4.7.1098.0 2007.12.06 - 
AVG 7.5.0.503 2007.12.07 - 
BitDefender 7.2 2007.12.07 - 
CAT-QuickHeal 9.00 2007.12.06 - 
ClamAV 0.91.2 2007.12.07 - 
DrWeb 4.44.0.09170 2007.12.06 - 
eSafe 7.0.15.0 2007.12.06 - 
eTrust-Vet 31.3.5359 2007.12.07 - 
Ewido 4.0 2007.12.06 - 
FileAdvisor 1 2007.12.07 - 
Fortinet 3.14.0.0 2007.12.06 - 
F-Prot 4.4.2.54 2007.12.06 - 
F-Secure 6.70.13030.0 2007.12.07 - 
Ikarus T3.1.1.12 2007.12.07 - 
Kaspersky 7.0.0.125 2007.12.07 - 
McAfee 5179 2007.12.06 - 
Microsoft 1.3007 2007.12.07 - 
NOD32v2 2708 2007.12.07 - 
Norman 5.80.02 2007.12.06 - 
Panda 9.0.0.4 2007.12.06 - 
Prevx1 V2 2007.12.07 - 
Rising 20.21.40.00 2007.12.07 - 
Sophos 4.24.0 2007.12.07 - 
Sunbelt 2.2.907.0 2007.12.07 - 
Symantec 10 2007.12.07 - 
TheHacker 6.2.9.152 2007.12.07 - 
VBA32 3.12.2.5 2007.12.05 - 
VirusBuster 4.3.26:9 2007.12.06 - 
Webwasher-Gateway 6.6.2 2007.12.07 - 
 
Information additionnelle 
File size: 16832 bytes 
MD5: 9dadab3c6b3852763976038502bf671d 
SHA1: e2f530b986c26f39109fb2dc252f14c061b4665b 
PEiD: -

japyday · Answer

et voilà ceux du deuxième qui est bien grippé !!

Fichier phxphph.dll reçu le 2007.12.07 09:52:32 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.12.7.0 2007.12.07 - 
AntiVir 7.6.0.34 2007.12.07 HEUR/Malware 
Authentium 4.93.8 2007.12.06 W32/Downloader.gen10 
Avast 4.7.1098.0 2007.12.06 - 
AVG 7.5.0.503 2007.12.07 Obfustat.ABAS 
BitDefender 7.2 2007.12.07 - 
CAT-QuickHeal 9.00 2007.12.06 - 
ClamAV 0.91.2 2007.12.07 - 
DrWeb 4.44.0.09170 2007.12.07 - 
eSafe 7.0.15.0 2007.12.06 - 
eTrust-Vet 31.3.5359 2007.12.07 - 
Ewido 4.0 2007.12.06 - 
FileAdvisor 1 2007.12.07 - 
Fortinet 3.14.0.0 2007.12.06 - 
F-Prot 4.4.2.54 2007.12.06 W32/Downloader.gen10 
F-Secure 6.70.13030.0 2007.12.07 W32/DLoader.EJAS 
Ikarus T3.1.1.12 2007.12.07 Trojan-Spy.Win32.BZub.dl 
Kaspersky 7.0.0.125 2007.12.07 - 
McAfee 5179 2007.12.06 Generic.ff 
Microsoft 1.3007 2007.12.07 - 
NOD32v2 2708 2007.12.07 - 
Norman 5.80.02 2007.12.06 W32/DLoader.EJAS 
Panda 9.0.0.4 2007.12.06 Suspicious file 
Prevx1 V2 2007.12.07 - 
Rising 20.21.41.00 2007.12.07 - 
Sophos 4.24.0 2007.12.07 - 
Sunbelt 2.2.907.0 2007.12.07 - 
Symantec 10 2007.12.07 - 
TheHacker 6.2.9.152 2007.12.07 - 
VBA32 3.12.2.5 2007.12.05 - 
VirusBuster 4.3.26:9 2007.12.06 - 
Webwasher-Gateway 6.6.2 2007.12.07 Heuristic.Malware 
 
Information additionnelle 
File size: 139359 bytes 
MD5: 7c22736149dea785dd405564d9275d71 
SHA1: 5f9ca6c6683d14d4f5ce7899463e65fd6ca70523 
PEiD: - 


 MERCI

rudyrital · Answer

Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.


Citation : 

C:\WINDOWS\system32\phxphph.dll 



clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

japyday · Answer

voilà le rapport OTmovelt : je n'ai pas eu à redemarrer

C:\WINDOWS\system32\phxphph.dll unregistered successfully.
C:\WINDOWS\system32\phxphph.dll moved successfully.
 
Created on 12/07/2007 17:05:46

oliver · Answer

salut ...
enlevez tout ce qui est en rapport avec qdrpack.
mode operatoire: rechercher
qdrpack 
faites ctrl alt suppr
terminer le processus en rapport avec qdrpacket qdrpack9 ou autres chiffres
supprimez tous les dossires trouvés
et ca devrai etre bon.
bon courage...

japyday · Answer

Merci de passer tant de temps pour moi !!
J'ai supprimé les fichiers qdrpack et je crois que je n'ai plus de speed internet... tu as réussi à le tuer !!
mais j'ai encore un fichier infesté "win32 agent NNH trj" que me signale avast
il s'agit de : amcompatp.exe dans system 32 . Je l'ai mis en zone quarantaine.
Est ce que je peux le supprimer ?
Après promis je ne t'embête plus !!!!!!!!!!

rudyrital · Answer

Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

japyday · Answer

ah je suis contente que tu sois encore là !!

voilà le premier rapport :


[12/13/2007, 21:19:40] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Christine\Local Settings\Temporary Internet Files\Content.IE5\QYQUFY7T\VirtumundoBeGone[1].exe" )
[12/13/2007, 21:19:45] - Detected System Information:
[12/13/2007, 21:19:45] -  Windows Version: 5.1.2600, Service Pack 2
[12/13/2007, 21:19:45] -  Current Username: Christine (Admin)
[12/13/2007, 21:19:46] -  Windows is in NORMAL mode.
[12/13/2007, 21:19:46] - Searching for Browser Helper Objects:
[12/13/2007, 21:19:46] -  BHO 1: {411125f8-65a9-45f4-8691-6eb69dad9efc} ()
[12/13/2007, 21:19:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/13/2007, 21:19:46] -  Checking for HKLM\...\Winlogon\Notify\phxphph
[12/13/2007, 21:19:46] -  Key not found: HKLM\...\Winlogon\Notify\phxphph, continuing.
[12/13/2007, 21:19:46] -  BHO 2: {9533ff00-1dd1-11b2-aec8-b6f114294cb2} ()
[12/13/2007, 21:19:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/13/2007, 21:19:46] -  Checking for HKLM\...\Winlogon\Notify\otufsxsj
[12/13/2007, 21:19:46] -  Key not found: HKLM\...\Winlogon\Notify\otufsxsj, continuing.
[12/13/2007, 21:19:46] - Finished Searching Browser Helper Objects
[12/13/2007, 21:19:46] - Finishing up...
[12/13/2007, 21:19:46] - Nothing found! Exiting...



voilà le deuxième :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:29, on 13/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\PasenDommagement\mc.exe
C:\WINDOWS\system32egsvr32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wlancfg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetelportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {411125f8-65a9-45f4-8691-6eb69dad9efc} - C:\WINDOWS\system32\phxphph.dll (file missing)
O2 - BHO: (no name) - {9533ff00-1dd1-11b2-aec8-b6f114294cb2} - C:\WINDOWS\otufsxsj.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [hory] C:\Program Files\Windows NT\hory77798.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\PasenDommagement\mc.exe" dm=http://pasendommagement.com; ad=http://pasendommagement.com
O4 - HKLM\..\Run: [WinPerfMon] C:\WINDOWS\TEMP\loader.exe
O4 - HKLM\..\Run: [nqngnara] regsvr32 /u "C:\Documents and Settings\All Users\Application Data
qngnara.dll"
O4 - HKLM\..\Run: [SysSFGE.exe] C:\WINDOWS\system32\SysSFGE.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [QdrPack10] "C:\Program Files\QdrPack\QdrPack10.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

japyday · Answer

excuse mais j'avais pas redemarré entre les deux

alors voilà hijackthis après redémarreg (j'ai pas eu de message d'erreur fatale)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:57, on 13/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\PasenDommagement\mc.exe
C:\WINDOWS\system32egsvr32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\wlancfg.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetelportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {411125f8-65a9-45f4-8691-6eb69dad9efc} - C:\WINDOWS\system32\phxphph.dll (file missing)
O2 - BHO: (no name) - {9533ff00-1dd1-11b2-aec8-b6f114294cb2} - C:\WINDOWS\otufsxsj.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [hory] C:\Program Files\Windows NT\hory77798.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\PasenDommagement\mc.exe" dm=http://pasendommagement.com; ad=http://pasendommagement.com
O4 - HKLM\..\Run: [WinPerfMon] C:\WINDOWS\TEMP\loader.exe
O4 - HKLM\..\Run: [nqngnara] regsvr32 /u "C:\Documents and Settings\All Users\Application Data
qngnara.dll"
O4 - HKLM\..\Run: [SysSFGE.exe] C:\WINDOWS\system32\SysSFGE.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [QdrPack10] "C:\Program Files\QdrPack\QdrPack10.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

rudyrital · Answer

Relance Hijackthis et clic sur « Do a system Scan only »
sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) 

Coche la case devant ces lignes ( et seulement celles-ci ) :

O2 - BHO: (no name) - {411125f8-65a9-45f4-8691-6eb69dad9efc} - C:\WINDOWS\system32\phxphph.dll (file missing)
O2 - BHO: (no name) - {9533ff00-1dd1-11b2-aec8-b6f114294cb2} - C:\WINDOWS\otufsxsj.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [hory] C:\Program Files\Windows NT\hory77798.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\PasenDommagement\mc.exe" dm=http://pasendommagement.com; ad=http://pasendommagement.com
O4 - HKLM\..\Run: [WinPerfMon] C:\WINDOWS\TEMP\loader.exe
O4 - HKLM\..\Run: [nqngnara] regsvr32 /u "C:\Documents and Settings\All Users\Application Data
qngnara.dll"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [QdrPack10] "C:\Program Files\QdrPack\QdrPack10.exe"

Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]


Rends toi sur ce site :
https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Program Files\Windows NT\hory77798.exe

Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.


refait de meme avec ceux ci :
C:\WINDOWS\TEMP\loader.exe
C:\Documents and Settings\All Users\Application Data
qngnara.dll
C:\Program Files\QdrPack\QdrPack10.exe
C:\WINDOWS\system32\SysSFGE.exe 

Copie le dans ta réponse.  ( 5 rapport en tout)

japyday · Answer

voilà mes resultats

C:\Program Files\Windows NT\hory77798.exe 
0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\TEMP\loader.exe 
0 bytes size received / Se ha recibido un archivo vacio

Fichier nqngnara.dll_ reçu le 2007.12.13 21:58:39 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.12.14.10 2007.12.13 - 
AntiVir 7.6.0.45 2007.12.13 TR/Vundo.Gen 
Authentium 4.93.8 2007.12.13 - 
Avast 4.7.1098.0 2007.12.13 - 
AVG 7.5.0.503 2007.12.13 Downloader.Zlob.RD 
BitDefender 7.2 2007.12.13 - 
CAT-QuickHeal 9.00 2007.12.13 - 
ClamAV 0.91.2 2007.12.13 - 
DrWeb 4.44.0.09170 2007.12.13 - 
eSafe 7.0.15.0 2007.12.13 - 
eTrust-Vet 31.3.5373 2007.12.13 - 
Ewido 4.0 2007.12.13 - 
FileAdvisor 1 2007.12.13 - 
Fortinet 3.14.0.0 2007.12.13 - 
F-Prot 4.4.2.54 2007.12.13 - 
F-Secure 6.70.13030.0 2007.12.13 Zlob.gen94 
Ikarus T3.1.1.15 2007.12.13 - 
Kaspersky 7.0.0.125 2007.12.13 - 
McAfee 5185 2007.12.13 - 
Microsoft 1.3007 2007.12.13 - 
NOD32v2 2721 2007.12.13 - 
Norman 5.80.02 2007.12.13 Zlob.gen94 
Panda 9.0.0.4 2007.12.13 - 
Prevx1 V2 2007.12.13 Generic.Malware 
Rising 20.22.32.00 2007.12.13 - 
Sophos 4.24.0 2007.12.13 - 
Sunbelt 2.2.907.0 2007.12.13 - 
Symantec 10 2007.12.13 - 
TheHacker 6.2.9.158 2007.12.13 - 
VBA32 3.12.2.5 2007.12.10 - 
VirusBuster 4.3.26:9 2007.12.13 - 
Webwasher-Gateway 6.6.2 2007.12.13 Trojan.Vundo.Gen 
 
Information additionnelle 
File size: 76288 bytes 
MD5: 8dd7ca842b37ea4d8441a2f24af564f0 
SHA1: 5acc98529d4f98354a3a23d6065c0dc9d458e819 
PEiD: - 
packers: UPX 
packers: UPX 
packers: PE_Patch.UPX, UPX 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=21F0355D00427EE02A8F013BA056620020CD511F 

C:\Program Files\QdrPack\QdrPack10.exe
0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\SysSFGE.exe 
0 bytes size received / Se ha recibido un archivo vacio
 Voilà mes 5 rapports

rudyrital · Answer

Relance Hijackthis et clic sur « Do a system Scan only »
sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) 

Coche la case devant ces lignes ( et seulement celles-ci ) :


O2 - BHO: (no name) - {411125f8-65a9-45f4-8691-6eb69dad9efc} - C:\WINDOWS\system32\phxphph.dll 
O2 - BHO: (no name) - {9533ff00-1dd1-11b2-aec8-b6f114294cb2} - C:\WINDOWS\otufsxsj.dll 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" 
O4 - HKLM\..\Run: [hory] C:\Program Files\Windows NT\hory77798.exe 
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\PasenDommagement\mc.exe" dm=http://pasendommagement.com; ad=http://pasendommagement.com 
O4 - HKLM\..\Run: [WinPerfMon] C:\WINDOWS\TEMP\loader.exe 
O4 - HKLM\..\Run: [nqngnara] regsvr32 /u "C:\Documents and Settings\All Users\Application Data
qngnara.dll" 
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart 
O4 - HKCU\..\Run: [PasenDommagement] C:\Program Files\PasenDommagement\GDC.exe 
O4 - HKCU\..\Run: [QdrPack10] "C:\Program Files\QdrPack\QdrPack10.exe" 





Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]


Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.


Citation : 
C:\WINDOWS\system32\phxphph.dll
C:\WINDOWS\otufsxsj.dll
C:\Program Files\Windows NT\hory77798.exe
C:\Program Files\Fichiers communs\PasenDommagement\mc.exe
C:\WINDOWS\TEMP\loader.exe
C:\Documents and Settings\All Users\Application Data
qngnara.dll
C:\Program Files\QdrPack\QdrPack10.exe
C:\Program Files\PasenDommagement\GDC.exe 

clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Patpilote · Answer

MAYDAY MAYDAY MAYDAY !!!

Hello les surfistes !!

depuis 1 mois , je possede un cheval de Troie tres tres insistant malgre procedures Hijack this et Nod 32.. avec une page "zhydropilar" qui apparait sans cesse !!!

J'ajoute que ma connexion est tres ralentie 10k/sec !
Merci aux bonnes volontés de m'aider a retrouver une situation plus saine !!
Voici mon rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:58:34, on 14/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\QdrPack\QdrPack9.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: BndShell3 BHO Class - {875A1348-7674-42aa-ADAC-B4F36A004A2D} - C:\Program Files\QdrDrive\QdrDrive8.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P36 "EPSON Stylus CX6600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Win322L4oader] C:\WINDOWS\system32
odd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [QdrPack9] "C:\Program Files\QdrPack\QdrPack9.exe"
O4 - HKCU\..\Policies\Explorer\Run: [NTSecurity] NTSecurity.exe
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O24 - Desktop Component 0: (no name) - https://ivu.org/congress/2004/tours/corcovado.jpg

Patpilote · Answer

MAYDAY MAYDAY MAYDAY !!!

Hello les surfistes !!

depuis 1 mois , je possede un cheval de Troie tres tres insistant malgre procedures Hijack this et Nod 32.. avec une page "zhydropilar" qui apparait sans cesse !!!

J'ajoute que ma connexion est tres ralentie 10k/sec !
Merci aux bonnes volontés de m'aider a retrouver une situation plus saine !!
Voici mon rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:58:34, on 14/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\QdrPack\QdrPack9.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: BndShell3 BHO Class - {875A1348-7674-42aa-ADAC-B4F36A004A2D} - C:\Program Files\QdrDrive\QdrDrive8.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P36 "EPSON Stylus CX6600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Win322L4oader] C:\WINDOWS\system32
odd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [QdrPack9] "C:\Program Files\QdrPack\QdrPack9.exe"
O4 - HKCU\..\Policies\Explorer\Run: [NTSecurity] NTSecurity.exe
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O24 - Desktop Component 0: (no name) - https://ivu.org/congress/2004/tours/corcovado.jpg

oliver · Answer

salut ... pour enlever le virus internet speed monitor,
zhydropillar et compagnie definitivement voici la procedure radicale.
faites control alt supp, terminer le processus qui contient qdrpack,
faites dans demarrer,rechercher dans lecteurs c et d qdrpack.
une fois qu'ils sont trouvés, supprimez tout.
apres c fini. bon courage

japyday · Answer

Bonjour rudyrital : je te remercie de continuer avec moi !!!
je gallère avec otmovelt : j'arrive pas à supprimer : il prend en compte les 5 premières lignes mais plante quand il arrive à la sixième. (ne répond pas).
Peut-être faut il que je le fasse en mode sans echec ?
D'après ce qu'il me semble pour les 5 premieres lignes il dit "not found".
Merci

japyday · Answer

Pour Oliver merci de tes conseils, c'est très sympa; mazis ça y est je n'ai plus internet speed monitor, mais il me reste un virus trojan.
Bon week end

rudyrital · Answer

https://www.trendmicro.com/en_us/forHome/products/housecall.html (Cliquer sur "Scan Now. It's Free!")

japyday · Answer

Voilà, j'ai TOUT nettoyé comme tu m'as dit et je suis sûre que maintenant tout va être OK !!
Voilà le résultat de house call
"Scanning and Cleaning Complete
HouseCall found and removed potential threats from your computer. Make sure you run HouseCall once a week to keep your PC clean and malware free"

J'ai maintenant un vrai anti virus en état de marche... faut peut-être que j'installe un pare feu aussi ??
Et je vais faire régulièrement des scans avec AVAST pour vérifier !!
Merci mille fois de ton aide : franchement tu as été hyper sympa et particulièrement patient.
J'ai des copains qui ont eu un peu les mêmes problèmes et qui ont du tout désinstaller... Alors je suis très contente.
Encore une fois merci !!
Je te souhaite une bonne soirée

japyday · Answer

PROBLEME RESOLU

charles · Answer

*** Recherche dossiers dans "C:\Documents and Settings\Grofan\locals~1\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Grofan\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Grofan\locals~1\applic~1" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Grofan\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 11/02/2008 à 10:20:23,37 ***


SERAIT IL POSSIBLE DE M'AIDER MOI AUSSI JE SUIS EN GALERRRRRE!

Regis59 · Answer

Bonjour charles, (deuxième fois :) )

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt

INTERNET SPEED MONITOR

71 réponses

Discussions similaires

Newsletters