PC infections multiples ?

Résolu
sKe69 -  
 sKe69 -
Bonjour,
avis aux professionnels : j'ai récupéré un PC (IE 7 / XP ) dont on m'a chargé de le sauver d'un formatage assuré ... En effet celui-ci est surinvesté de saltés ( spyware , trj et toute la bande ... ) , j'ai donc penser à vous ... ;)
Le prb majeur est le suivant : impossible de se connecté à internet ; ou ça plante carrément ou une fenêtre s'ouvre sur la 1ere page d'IE (une pâle immitation d'une fenêtre windows ) qui indique de que "mon système contient des spywares,pour un scan GRATUIT cliqué ici " ... mais bien sûr ...
Tout ça sans parler des trj Zlob que Avast a "contrés" au démarage du PC , la quantité de prb que Spybot a mit au placards ...
Ce PC est passé par plusieurs anti vir.( mais sûrement mal utilisés ) et avait un par-feu windows assez mince ( trop de d'exptions de prg risqués validés ) .

je poste donc dans un premier temps un rapport Hijacthis (celui-ci instalé par une clé USB car pas d'internet...)
Si cela dit à quelqu'un de relever le défit (je pense entre autre à toi Papyber...ou à d'autre bien entendu! ).

---sKe---


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:51, on 07/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Player Video TF1\tf1.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\Hijacthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q404&bd=presario&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q404&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 202.67.220.233 win.mail.ru
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [tf1] C:\Program Files\Player Video TF1\tf1.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirusHeat 3.9] "C:\Program Files\VirusHeat 3.9\VirusHeat 3.9.exe" /h
O4 - HKLM\..\Run: [302af984] rundll32.exe "C:\WINDOWS\system32\xwweaaxi.dll",b
O4 - HKLM\..\Run: [BM3319ca18] Rundll32.exe "C:\WINDOWS\system32\nxdgexgp.dll",s
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://mm.tf1.fr/superdistribution/installer2.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanBrigitte.exe
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{409B6718-9F9C-4AF3-ABC8-AE78D1F9B6D2}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{582FE5DB-BAA2-4CDD-B853-A89611945A07}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F5AA804-0CC1-4E58-9E3B-69926B7D6519}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{684A3E8E-C800-41D9-AA57-E4DDA1A0E49F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B2BCA9C-B9B9-46A2-AAD8-E754DF44BA00}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB1DE31-7017-42E1-865A-49A545E44CAB}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4039785-BCFB-43E1-A826-FF9063F67734}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O21 - SSODL: bxlrvps - {DF7C5A04-637E-47A5-B282-0DFD09806113} - C:\WINDOWS\bxlrvps.dll (file missing)
O21 - SSODL: alofkmn - {273C56DD-B66C-4DD1-8EFD-DA1F3D09CBF0} - C:\WINDOWS\alofkmn.dll
O22 - SharedTaskScheduler: USB Ware - {E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D} - (no file)
O22 - SharedTaskScheduler: didact - {747e1fbe-b70f-441d-bbca-6e536c04924a} - C:\WINDOWS\system32\wuuawkz.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
A voir également:

96 réponses

Précédent
Réponse 81 / 96
sKe69
 
Toi qui sait tout ! ;) dit moi la meilleur façon de revenir en 1 seule et unique session , ensuite je relancerai un scan OAD .
0
Réponse 82 / 96
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
je pense que tu veux supprimer les comptes des autres utilisateurs? de façon à n'en avoir plus qu'un?
dans ce cas
démarrer/panneau de configuration
tu choisis "comptes d'utilisateurs" et tu supprimes ceux que tu ne veux pas conserver
attention à bien conserver un" compte administrateur"
tu peux indiquer que tu souhaites ou pas conserver les documents de chaque compte
http://www.linternaute.com/hightech/maquestion/windows/suppression-compte.shtml
0
Réponse 83 / 96
sKe69
 
tout vu ... Je fait les modifs et je te post les scan OAD pour voir l'ensemble des manipes à faire .
A tout de suite ...
0
Réponse 84 / 96
sKe69
 
Une bonne chose de faite !!! Une session unique avec Avast et Spybot ( leurs quarantaines respectives ont été vidées ).
Voilà les derniers rapp. OAD : dit moi quoi faire ?

11/03/2008 ---- 20:06:26,18

----------------------------------
§§§§§§ [Spyware Doctor] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Chilkat Software, Inc.\ChilkatXml.ChilkatXml]
"registered_dll"="C:\\Program Files\\Spyware Doctor\\chilkatxml.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{101F9C56-A0F3-455C-ABBB-191168ABCF94}\1.0\0\win32]
@="C:\\Program Files\\Spyware Doctor\\chilkatxml.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{101F9C56-A0F3-455C-ABBB-191168ABCF94}\1.0\HELPDIR]
@="C:\\Program Files\\Spyware Doctor\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8051E3F7-B752-42C8-AEA7-4CC1D125D49B}\1.0\HELPDIR]
@="C:\\Program Files\\Spyware Doctor\\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

[HKEY_USERS\.DEFAULT\Software\PCTools\Spyware Doctor]

[HKEY_USERS\.DEFAULT\Software\PCTools\Spyware Doctor\Settings]

[HKEY_USERS\.DEFAULT\Software\PCTools\Spyware Doctor\Settings\Tools]

[HKEY_USERS\.DEFAULT\Software\PCTools\Spyware Doctor\Settings\Tools\ActCookie]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\ActiveX Scanner]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\ActStartUp]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Browser Activity Scanner]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Disk Scanner]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Exploit Guard]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\General Scanner]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\IEMonitor]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Immunizer]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Keylogger Guard]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Network Guard]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Popup Blocker]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Popup Blocker]
"C:\\Program Files\\Spyware Doctor\\Tools\\iesdpb.dll"=dword:00000001

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Process Guard]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Process Scanner]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Registry Scanner]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Scheduler]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Site Guard]

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Site Guard]
"C:\\Program Files\\Spyware Doctor\\Tools\\iesdsg.dll"=dword:00000001

[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools\Spyware Doctor\Settings\Tools\Spyware Doctor Network]

[HKEY_USERS\S-1-5-18\Software\PCTools\Spyware Doctor]

[HKEY_USERS\S-1-5-18\Software\PCTools\Spyware Doctor\Settings]

[HKEY_USERS\S-1-5-18\Software\PCTools\Spyware Doctor\Settings\Tools]

[HKEY_USERS\S-1-5-18\Software\PCTools\Spyware Doctor\Settings\Tools\ActCookie]

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
000000000000000000000000000000000000000000000000000000000000000000
11/03/2008 ---- 20:09:24,17

----------------------------------
§§§§§§ [PC Tools] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
000000000000000000000000000000000000000000000000000000000000000000

11/03/2008 ---- 20:11:24,70

----------------------------------
§§§§§§ [swdoctor] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\NVIDIA Corporation\Global\nView\WindowManagement\swdoctor]

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 85 / 96
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
tu vas dans le registre et tu fais comme l'autre fois
sauvegarde du Registre puis tu suis l'arborescence et tu suis les consignes
HKEY_LOCAL_MACHINE\SOFTWARE\Chilkat Software, Inc.\==>clic droit/supprimer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{101F9C56-A0F3-455C-ABBB-191168ABCF94}\1.0\HELPDIR==>clic droit/supprimer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8051E3F7-B752-42C8-AEA7-4CC1D125D49B}\1.0\HELPDIR==>clic droit/supprimer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDHELPER"==>clic droit/supprimer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SDHELPER==>clic droit/supprimer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDHELPER==>clic droit/supprimer
HKEY_USERS\.DEFAULT\Software\PCTools==>clic droit/supprimer
HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\PCTools==>clic droit/supprimer
HKEY_USERS\S-1-5-18\Software\PCTools==>clic droit/supprimer
HKEY_USERS\S-1-5-21-4125918834-928101043-3495325056-1007\Software\NVIDIA Corporation\Global\nView\WindowManagement\swdoctor==>clic droit/supprimer


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{101F9C56-A0F3-455C-ABBB-191168ABCF94}\1.0\0\win32
@="==>par défaut clic droit
C:\\Program Files\\Spyware Doctor\\chilkatxml.dll"supprimer cette valeur et rien d'autre
--

Télécharge : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires".
Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

Lance CCleaner , nettoyeur, et supprime tout ce qu'il trouve
lance Ccleaner, Registre, et répare ce qu'il trouve, accepte les sauvegardes
dis moi ce que cela donne


tout vient à point à qui sait attendre
pas de demande par MP svp
0
Réponse 86 / 96
sKe69
 
je casse une petite graine et je me met au boulot !
Si tout ce passe bien , tu veux un rapp. Hijacthis ou autre pour un contrôle ?
0
Réponse 87 / 96
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
si tout se passe bien tu me le dis
tu refais un OAD et il ne devrait rien rester ou alors je mange ma casquette!!!
à demain je me lève très tôt et je coupe pour ce soir
0
Réponse 88 / 96
sKe69
 
Ce n'est pas aujourd'hui que tu "mangeras ta casquette " ! ;-)
Les rapp. OAD sont vierges ... Mais ce ne fut pas sans peine ! En effet , il fallut faire qlques modifes " d'autorisations" dans regedit pour bien tout suprimer ... j'espère ne pas avoir fait de betises ; mais je suis confiant .
Bon ... pour ce qui est de swdoctor : ok
pour ce qui est de la multi-session : ok
... mais pour ce qui est des multiples infections, on en est où ? Tu m'a dis au post 71/72, suite à un scan bitdefender en ligne : "c'est sans danger, c'est dans ta restauration système!! on la nettoiera en toute fin !!!les virus ne peuvent se lancer que si tu restaures ton PC " . Que doit-on faire ?

sur ce, à demain et encore MERCI !

---sKe---
0
Réponse 89 / 96
sKe69
 
salut,
là je suis au taf' ... je ferai tout cela vers 17h00 .
A tout à l'heure ;)
0
Réponse 90 / 96
sKe69
 
bon c'est parti ...
j'en suis au nettoyage du disk (100GO utilisés/150GO) ... Pffffff cela risque d'être long... ça n'avance pas :( ...
Je te tiens au courant
0
Réponse 91 / 96
sKe69
 
Ca y est !!!
je vient enfin de lancer la défragmentation ! Tout c'est relativement bien passé jusqu'à présent ...
Si la défrag. se termine avant que je plonge dans le soumarin , je lancerai un scan Bitdefender en ligne pour que tu l'ai demain matin ( j'en doute fortement car ce PC qui a environ 3 ans n'a jamais été défragmenté !!! ) . Sinon je te donnerai le rapp. demain fin d'après-midi ...
0
Réponse 92 / 96
sKe69
 
Voilà le dernier rapp. Bitdefender : il est vierge .... Bonne nouvelle non ?!
Un petit Hijackthis par acquit de conscience ?


BitDefender Online Scanner



Rapport d'analyse généré à: Thu, Mar 13, 2008 - 06:57:44





Voie d'analyse: A:\;C:\;D:\;E:\;F:\;







Statistiques

Temps
00:16:35

Fichiers
52115

Directoires
5282

Secteurs de boot
3

Archives
682

Paquets programmes
4892




Résultats

Virus identifiés
0

Fichiers infectés
0

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
0




Info sur les moteurs

Définition virus
988393

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
41

Unpack des plugins
7

E-mail plugins
6

Système plugins
5




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

Aucun virus trouvé.
0
Réponse 93 / 96
sKe69
 
Bon, apparement tu n'es pas dispo aujourd'hui alors je te poste aussi le dernier rapport Hijackthis . Si il y a des choses à faire,n'ésite pas à me le dire ...
J'attend de tes nouvelles ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:42, on 13/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Player Video TF1\tf1.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [tf1] C:\Program Files\Player Video TF1\tf1.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} -
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{409B6718-9F9C-4AF3-ABC8-AE78D1F9B6D2}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{582FE5DB-BAA2-4CDD-B853-A89611945A07}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F5AA804-0CC1-4E58-9E3B-69926B7D6519}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{684A3E8E-C800-41D9-AA57-E4DDA1A0E49F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B2BCA9C-B9B9-46A2-AAD8-E754DF44BA00}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB1DE31-7017-42E1-865A-49A545E44CAB}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4039785-BCFB-43E1-A826-FF9063F67734}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 94 / 96
sKe69
 
Salut à toi Papyber !
Je suis heureux d'être enfin arriver au bout ! Grâce à toi bien entendu ;)
Je te dis à nouveau un grand MERCi pour ton aide .
Juste une petite chose, lors on s'est débarrasser de Spyware Doctor ,tu m'as fait sauvegarder le Registre sur mon bureau avant de faire les manipes de suppressions : que dois-je faire de se .reg ?
Sinon , j'ai trouvé le scan en ligne Bitedefender trés efficace;donc j'ai scanné un des MES PC qui était atteint de qlques lenteurs,et le scan a effectivement trouvé des infections sur mon disq. esclave ...je ne sais pas si c'est grâve mais je vais lancer un nouveau post ...

A bientôt :)

---sKe---
0
Réponse 95 / 96
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
ce reg si tu n'as pas de soucis, tu le supprimes...dans quelques jours ...
bonne continuation
0
Réponse 96 / 96
sKe69
 
merci ! Toi aussi ...
0