infection par win32:trojan-gen {UPX}

Question

Bonjour,
Avast! me signale que je suis infectée par Win32 trojan-gen {UPX} en ce moment en quarantaine
Voici le rapport Hijackthis! pourriez vous m'aidez s'il vous plait a desinfecter le pc
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:07, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\bluetoothmama\BlueSoleil.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Program Files\bluetoothmama\BTNtService.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe taskmger.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Systry] C:\WINDOWS\system32
otepad.exe
O4 - HKLM\..\Run: [userd] C:\WINDOWS\RECYCLER\systems.com
O4 - HKLM\..\Run: [XPFix] C:\Program Files\Wireless 802.11g Monitor\XPFix.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Wengo] "C:/Program Files/Wengo/wengophone.exe" -background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3497910-B8AE-4B26-897F-FF86C27742D9}: NameServer = 41.221.20.244 213.140.2.21
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\bluetoothmama\BTNtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Lyonnais92 · Answer

Bonjour,

On va commencer comme pour le fixe :

Installe un parefeu.

Tu as les propositions sur l'autre post.

ne fais rien d'autre.

Je reviens plus tard.

rasko3 · Answer

Bonsoir Lyonnais92

Je viens d'aller vérifier et il me semble(c'est ce que j'ai vu)que le parefeu windows est bien activé. Comment pourrai-je le remplacer par zone alarme par exemple?  
Depuis que j'ai connecté ce soir ce pc,il y a ce message de Avast! scan à l ' acces qui s'affiche par intermittence :Bouclier réseau: "DCOM Exploit" bloqué, attaque de 10.13 d'autres series de nombres  , qui changent à chaque fois et le message se termine par tcp.

Quand j 'ai lancé le scan  avast ,avant de fermer ,une fois fini ,une fenetre s'ouvre pur me signaler que
 C:windows\ softowar \download\...wmp;dll
C:\documents end settings\default User\...\msxm\3dll
impossible à scanner
Je ne trouve pas n'en plus le gestionnaire de tache:  ctrl alt supp   un message s'affiche :Le gestionnaire de taches à été désactivé par votre administrateur



J'ai énormement de mal à écrire (c'est un portable et je ne suis pas très habituée) si ce n'est pas clair ce que jécris ,je recommencerai ,n'hesite pas à me le dire.
Voilà,j'attends que tu me dises si je dois changer le parefeu windows
a+

Lyonnais92 · Answer

Re,

urgent de mettre ZA.

Il désactivera automatiquement le parefeu Windows.


Ouvre ce lien.

télécharge zeb restore et exécute le pour réparer le gestionnaire des tâches.

Coche aussi Windows update et policies.

Si tu as d'autres dysfonctionnement qui figurent dans la liste, utilise le.

Lyonnais92 · Answer

Re,

si tu utilises encore Wengo, ceci te sera utile :

http://ww11.wengophone.com/index.php/Guide_de_r%C3%A9glage_des_Firewalls

Lyonnais92 · Answer

Re,

la suite est assez proche aussi :

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
clique sur démarrer, exécuter et tu tapes cmd puis OK.


Ne les utilise pas tout de suite.


Antispywares et autres :

*Ad-Aware (gratuit)
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Tuto :
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

*Spybot (gratuit) :
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
voir demo d utilisation (merci Balltrap)
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

* AVG AS

AVG anti spyware
https://www.01net.com/telecharger/
Mets le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

Inconnu
	F2 - REG:system.ini: Shell=Explorer.exe taskmger.com
 	O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Systry] C:\WINDOWS\system32
otepad.exe
 	O4 - HKLM\..\Run: [userd] C:\WINDOWS\RECYCLER\systems.com
 	O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!

Si la 07 manque, tu continues. Mais tu le signaleras dans ta réponse.
========================================
Démarrer > Executer > cmd.

Dans la fenêtre noire, tu tapes cd c:\ et tu fais entrer

tu tapes taskkill /im taskmger.com /F et tu fais entrer

tu tapes exit et tu fais entrer

 La fenêtre noire se ferme.



=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->Recherche et supprime ces fichiers en gras (si présents) :

Windows\system32	askmger.com
C:\WINDOWS\system32
otepad.exe


========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
->Lance AVG pour un scan complet "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
========================================
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
========================================
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
========================================
->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,

Télécharge Flash_Disinfector de sUBs ici
:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Enregistre le sur ton bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :

Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés (uniquement celles qui n'ont pas été désinfectées avec le fixe).

Puis clique sur Ok

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

Appuye sur "Ok", pour faire réapparaitre le bureau

- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Où en sont tes problèmes ?

rasko3 · Answer

Non je pensais l 'avoir supprimé lui!!!! Kaspersky aussi je pensais l 'avoir supprimé il y a plus d'un an.
De plus ce foutu pc est tres tres long au demarrage et idm pour fermer +de 10min.
Pourtant pour une capacité de 37,2 GO, seulement 4,81 GO utilisés pour 32,2 GO en espace libre.
Ok ,je vais à l urgence tout de suite
a+

Lyonnais92 · Answer

Re,

attention, tu as bien fait tous les posts précédents avant celui-là ?

Ton bloc-notes a évidemmment disparu.

Tu fais clic droit sur démarrer et rechercher. Tu cherches notepad.* sur ton poste de travail. Clique sur options avancées. Coche les cases rechercher dans les dossiers systèmes et rechercher dans les fichiers et dossiers cachés.

Donne moi les noms trouvés.

En attendant, 

tu ouvres ce lien

https://www.commentcamarche.net/telecharger/ 42 traitement de texte

tu télécharges Metapad

Ensuite, démarrer, rechercher, tu cherches C:\Windows32.metapad.exe.

Clic droit, renommer et tu renommes notepad.exe (metapad en notepad et metapad.exe en notepad.exe) 

A ce stade, redémarre l'ordi et remets un rapport Hijackthis.

rasko3 · Answer

Non mon bloc note y était et même qu'il s'est décidé de s'afficher tout seul au demarrage en même temps que le messge de taksmger.com.
Par contre,je n'ai pas le lien que tu as envoyé "zeb restor",il n est pas visible chez moi ou pas clicable ou je ne sais quoi....
Pourrais-tu le renvoyer s'il te plait?
des que j'en aurais fini avec  Zone alarme ,je vais repasser sur l'autre pc pour imprimer tout ça avant d'aller plus loin.
C'est galere le portable!!!
Merci
a+

Lyonnais92 · Answer

Re,

désolé pour le lien.

http://telechargement.zebulon.fr/zeb-restore.html

fais bien les manips dans l'ordre à partir du post 3 (zeb restore justement).

rasko3 · Answer

^Bonjour Lyonnais 92
 Cette fois beaucoup de choses ne se sont pas passées comme prevu:
 *Je commense par ZoneAlarme. Je suis sous une pluie  de messages d'alarme à chaque fois que je clic pour ouvrir une page  et même pour les services autirisés .Je ne sais pas comment parmettrer ,j'ai dû rater un détail lors de l installation.


* Jen'ai pas trouvé ces 2cases pour les cocher;
O4 - HKLM\..\Run: [userd] C:\WINDOWS\RECYCLER\systems.com 
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 
Pour les trois premières , c'est fait.

Tout le reste s'est déroulé normalement jusqu'au   
Apres demarrage sans echec, j'ai été surprise de voir le message d'alerte de windows à propos de ne pas trouver taskmger.com (de verifier le nom et de re etc...)
Je n'ai pas trouvé les fichiers demandés ;
J'ai trouvé taskmger et non taskmger .com
J'ai taskman, Notepad et non notepad.exe
 Je n'ai donc rien supprimé et à l'etape ou il fallait passer  CCleaner ,je ne l'ai pas trouvé(il n'est pas apparu en mode sans echec????). 
Je n'ai donc rien supprimé, je suis revenue au mode demarrage normal bredouille ,mais je ne pouvais plus me connecter 'coupure d'electricité à ce moment). 
Cette fois le bloc note n'est pas perdu jusqu'a présent.
Voilà ou j en suis,j attends tes instructions.
A+

rasko3 · Answer

J'ai oublié de te signaler que le gestionnaire de tache est bien rétabli .
Taskmger.exe  y est dans la liste
a+

rasko3 · Answer

re Lyonnais 92
Je reessaye à zéro en attendant que tu viennes;
Voici le nouveau rapport 
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:04, on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\bluetoothmama\BTNtService.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\bluetoothmama\BlueSoleil.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Lyonnais92 · Answer

Bonjour,

j'espère que ton log Hijackthis est incomplet.

rasko3 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12:13, on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\bluetoothmama\BTNtService.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\bluetoothmama\BlueSoleil.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe taskmger.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Wengo] "C:/Program Files/Wengo/wengophone.exe" -background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3497910-B8AE-4B26-897F-FF86C27742D9}: NameServer = 41.221.20.244 213.140.2.21
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\bluetoothmama\BTNtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Lyonnais92 · Answer

Re,

OK, on fera un point après le rapport de Bit Defender.

Ne t'inquiète pas pour la vitesse.

Je ne suis pas toujopurs derrière mon clavier. laisse le ràson rythme. Ne le ferme pas sauf si demande explicite (aller en sans échec, redémarrere en mode normal, ...).

Pour Ccleaner, tu le vois sur ton bureau en mode normal ?

Si oui, en mode sans échec, tu as bien choisi ta session normale ?

rasko3 · Answer

BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Mon, Dec 10, 2007 - 16:51:11
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 45239
 
Infected Files
 0
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
No virus found.
 
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. 
  
  
 

 Voici le rapport je vais me connecter sur l autre pc ,pour te donner quelques info si éventuellement ça pourrait t'aider pour la suite.Ici c'est trop calvair de rediger ou d'ouvrir les pages.
A+

rasko3 · Answer

Oui en mode normal, pas de souci CCcleanerest sur le burreau et il fonctionne très bien.

Lyonnais92 · Answer

Re,

fais un scan complet avec AVG antispy (après mise à jour de la base anti spy).

Poste le rapport.

Suprime ou mets en quarantaine ce qu'il détecte.

En mode sans échec, si tu choisis ta session pour te connecter, tu n'as plus Ccleaner ?

rasko3 · Answer

Re


A la fin du scan hijackthis ,après "fix checked" ,j ai voulu fermer la fenêtre 
(comme indiqué)  une fenêtre de spybot search et destroy ,indique qu'il a detecté 
qu'un élément important du registre a été modifié:
categori win logon
modif;valeur  modifié(ées)
element shell
ancienne valeur :explore.exe taskmger.com
nouvelle valeur: explore.exe.
*Hier j'avais bien reçu ce message et j'avais cliqué (a tort?????) sur accepter,
mais aujourd'hui ,j'ai cliqué sur refusé (ayant remarqué "taskmger,
je me suis dit qu'il voulait peut être se renommer et surtout ,
je voulais faire autre chose que la veille).


je n'ai pas trouvé: Windows\system32	askmger.com 
C:\WINDOWS\system32
otepad.exe 


 En mode sans echec ,  j'ai remarqué ce fichier dans windws systeme 32 "Extmgr.dll"
(je le dit comme ça ...) mais je n'ai trouvé aucun autre que j'étais sensée trouver.
Pour Ccleaner ,il n'etait pas sur le burreau , j'ai dû aller le chercher dans P files 
pour le lancer.
 Je n'ai pas pu passer" Ad-Aware " je n'ai pas trouver l icône pour le lancer pourtant,
 il était bien installé(à moins que j ai raté une étape...) 
Je suis donc passé à l'étape suivante qui est: Spybot 

 Je n'ai plus de clé USB infectée ,elles ont été toutes les deux formétées 
et scanées la dernière fois sur l'autre pc.
Dois-je tout de même Télécharge Flash_Disinfector de sUBs et appliquer 
les instructions à ce sujet?


Je signale aussi que j'ai toujours le message" windows ne trouve pas taskmger.com au demarrage.

Zone alarme signale toutes les quelques minute (en rouge ):
Le pare-feu a bloqué internet accès à votre ordinateur (session Net Bios)depuis 10.13.48.150[tcp port3092]indicateur tcp:]
Dans le doute je clic jusque là sur ok.
Voilà ,si je me souviens d'autre chose , je repasserai le signaler.
Autrement ,j'attends tes suggestions
A+

Lyonnais92 · Answer

Re,

continue à bloquer cet accès depuis 10.13.48.150.

Par contre, désactive le message (il doit y avoir une fonction "ne plus afficher")

Fais la manip avec Flash desinfector. Il me semble que l'ordi est infecté (et pourrait réinfecter des clés).

Relance Hijackthis. Coche devant la ligne F2 si elle apparait encore, accepte la modification malgré ce que dit le tea-timer de Spybot qui fait son boulot, clique sur fix checked?,ferme hijackthis.

Redémarre l'ordi (et va boire un café ou faire autre chose).

Relance Hijackthis.

Toujours une alerte sur l' absence de taskgmer.com ? 

toujours la ligne dans Hijackthis ?

rasko3 · Answer

Ok ,je vais passer le scan, juste une question avant;
 Faut il afficher  tous les fichiers et dossiers : 
/panneau de configuration  

( [Coche] « afficher les dossiers et fichiers cachés » 

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoche] « masquer les extensions dont le type est connu » ) et dois-je le faire en mode nomal ou sans echec?

Lyonnais92 · Answer

RE,

oui, bonne précaution pendant la désinfection.

Tu recaches les fichiers du s ystème d'exploitation après.

rasko3 · Answer

T'en fais pas ,à moins d'un miracle,  je vais même avoir le temps d'aller le chercher au Brésil mon café.

Ok j'applique le poste 20
merci
a+

rasko3 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:00:59, on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\bluetoothmama\BTNtService.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\bluetoothmama\BlueSoleil.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Wengo] "C:/Program Files/Wengo/wengophone.exe" -background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3497910-B8AE-4B26-897F-FF86C27742D9}: NameServer = 41.221.20.244 213.140.2.21
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\bluetoothmama\BTNtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Lyonnais92 · Answer

Re,

comment va l'ordi ?

sa lenteur est d'origine ?

as tu encore des problèmes avec ?

rasko3 · Answer

Bonjour Lyonnais92

Plus de messages à propos de taskmger.com

Plus trace de virus ou autre infection d'après tous les scan en ligne passés hier .

Je le sens beaucoup plus stable depuis toutes ces manipulations,  mais il reste trop lent au demarrage et tout autant  fermer.

J'ai l impression que les programmes "légitimes " se bouscullent et peinent à se lancer correctement.
Il n'y a  pourtant pas grand chose de stocké dedans;
*  sur 37,2 GO seulement 4,81 Go d'utilisés et 32,2 Go en espace libre" Je ne sais pas l'origine de cette lenteur ????Je vais programmer une vérification du disque au demarrage et une défragmentation  pour voir ce que ça va donner cette fois.
Je sais que je sors du sujet initial , "as -tu des suggestions à ce sujet? "
Dois-je faire autre chose à propos du trojan-gen ,"toutes les clés  Usb sont propres aussi.
A+
Bonne journée

Lyonnais92 · Answer

Bonjour,

vide tes quarantaines.

vide la corbeille.

prends un point de restauration propre

passe Ccleaner('Erreurs, chercher des erreusr et corriger les erreurs)

Demande pour ce que tu ne sais pas faire.

Si ça ne suffit pas à lui redonner de la vitesse, je te trouverais d'autres choses à essayer.

rasko3 · Answer

Bonsoir Lyonnais92
 J'ai bien passé Ccleaner pour faire le menage (recherche d'eErreurs et   correction l),nettayage du disque et tenté une défragmentation,mais après analyse ,il m'est signalé que le volume n'a pas besoin de l être.
Je te disais ce matin , que j'avais programmé une vérification du systeme de fichiers sur C fat 32) au demarrage; la verification des fichiers a pris 4heures et ce n'est pas fini jusqu'a present ,il en est encore à la verification de l 'espace libre (ça fait au 8h)
Je vais attendre qu'il soit plus performant pour creer un nouveau point de restauration ,j ai peur de me retrouver avec les defauts d'avant.
Je vais tenter de faire quelque chose et si je n'y arrive pas j'ouvre encore un poste pour probleme de" lenteur innexpliquée" . J'espère que tu ne seras pas trop loin alors...
Merci Lyonnais92 de m' avoir accompagné si gentillement .
Si le problème du trogan est expedié sur ce pc aussi,dois- je cocher résolu? 
Merci pour tout.
Je passerai ce soir pour te dire l'etat du pc au redemarrage et surtout à la connexion.
A+

Lyonnais92 · Answer

Re,

on va attendre le résultat de ton scan.

Même si la lenteur ne résulte pas toujours d'un problème Virus/sécu, on est  amené à traiter le sujet.

Je peux donc te donner quelques références et quelques suggestions (que l'on te donnerait ou devrait te donner sur un autre forum de ccm).

Allons au bout de ce que je peux faire pour toi et on verra ensuite.

rasko3 · Answer

Bonsoir Lyonnais92
Pc toujours aussi lent, il me fait de la peine!
Voici les résultats du scan de ce soir.




BitDefender Online Scanner
  
  
 
Scan report generated at: Tue, Dec 11, 2007 - 23:27:26
 
 
  
  
 
Scan path: C:\;D:\;
  
  
 
 
  
  
 
Statistics
 
Time
 00:38:26
 
Files
 42630
 
Folders
 2109
 
Boot Sectors
 2
 
Archives
 732
 
Packed Files
 2323
 
  
  
 
Results
 
Identified Viruses 
 0
 
Infected Files 
 0
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 0
 
  
  
 
Engines Info
 
Virus Definitions
 881465
 
Engine build
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 7
 
E-mail plugins
 6
 
System plugins
 1
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
No virus found.
  
 
  
 
 
  
  
 Ps: je n'ai pas coché la case "afficher les dossiers et fichiers cachés" , ni décoché la case"masquer les fichiers  protégés du systeme d'exploitation" ainsi "masquer les extensions dont le type est connu".
S'il faut refaire en appliquant ces manip, je refais ?
A+ si tu es là

Lyonnais92 · Answer

Re,

il me semble que tu n'as pas fait le  scan AVG AS.

Par contre le scan Bit defender est propre.

Fais le scan AVG et poste le rapport.

Ensuite, prends un point de restauration propre.

Je verrai ça demain.

rasko3 · Answer

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	01:18:58 12/12/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Aucune action entreprise.


Fin du rapport



Voilà, c'est bon?
MERCI
Bonne soirée
A demain

rasko3 · Answer

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	01:24:46 12/12/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.


Fin du rapport

J'avais oublié celui ci. J'ai fait et eneigistré un rapport avant et apres le nettoyage.

Lyonnais92 · Answer

Bonjour,

à mon avis, le nettoyage est terminé.

L'ordi n'est plus infecté.

Tu enlèves les outils de nettoyage

Pour la vitesse, une première référencee :

http://www.commentcamarche.net/faq/sujet 2794 pc ou ordinateur lent windows tres lent au demarrage

une seconde :

http://www.commentcamarche.net/faq/sujet 3446 windows xp mon pc rame que faire

tu vois d'abord ce qui peut correspondre ou ce qui se fait vite (fichier d'échange par exemple).

Tiens moi au courant.

rasko3 · Answer

Bonjour Lyonnais92 Merci pour la bonne nouvelle.
Très bien , je vais faire un tour sur les liens que tu proposes. Je reviendrai te mettre au courant.
C'est encore bien lent ce matin au demarrage.
Merci pour tout
Excéllente journée à toi et bonne continuation
Rasko3

Lyonnais92 · Answer

Re,

de rien, ça  a été un plaisir que  de travailler avec toi.

rasko3 · Answer

Mercii Lyonnais92
A bientôt pour le reste.

Lyonnais92 · Answer

Re,

juste pour avoir le dernier mot lol.

En fait, le pseudo du dernier intervenant me sert à savoir si je dois ouvrir le post ou si j'attends que l'internaute se manifeste.

Infection par win32:trojan-gen {UPX}

38 réponses

Votre réponse

Discussions similaires

Newsletters