Sujet Précédent Sujet Suivant

Bggguxgax????

Fermé
etgar - 26 mars 2008 à 21:24
 etgar - 31 mars 2008 à 09:58
Bonjour,
ma copine a ouvert "un fichier zip avec une commande msdos " semble t-il bref toujours est-il que trois programme sont apparu ensuite dont bgguxgax.exe qui s'execute au démarrage de windows ; également adzawxv.exe, sx.exe, vrbatinjxjto.exe les qutre sont dans system32
hormis sx.exe que je trouve comme ver avec sophos les trois autres programmes sont inexistant quand je lance une recherche sur le web ...autant dire que je suis fort embêté parce que je ne sais pas quoi faire (supprimer ou pas du registre etc...)
donc avant de devoir réinstaller mon systeme si quelqu'un avait une idée lumineuse !!
hah evidemment les antivirus ne trouvent rien!!

donc j'ai fait le hijack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:14, on 26/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\lxdccoms.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Lexmark 1300 Series\lxdcamon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://support.lexmark.com/index?page=productSelection&channel=supportAndDownloads&locale=en&userlocale=EN_US
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lxdcamon] "C:\Program Files\Lexmark 1300 Series\lxdcamon.exe"
O4 - HKLM\..\Run: [LXDCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [bggguxgax] C:\WINDOWS\system32\bggguxgax.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: lxdc_device - - C:\WINDOWS\system32\lxdccoms.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Print Spooler Service (ruo11eoehxoao) - Unknown owner - C:\WINDOWS\system32\bggguxgax.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

16 réponses

Réponse 1 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 mars 2008 à 21:56
slt,


Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
0
etgar
27 mars 2008 à 00:42
merci de me filer un coup de main....
j'ai fais la manip combofix et voila...



ComboFix 08-03-25.4 - etchat 2008-03-27 0:33:48.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.467 [GMT 1:00]
Endroit: C:\Documents and Settings\etchat\Bureau\bagle.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-26 to 2008-03-26 ))))))))))))))))))))))))))))))))))))
.

2008-03-26 21:10 . 2008-03-26 21:10 <REP> d-------- C:\Program Files\Trend Micro
2008-03-25 20:41 . 2008-03-25 20:41 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-25 20:41 . 2008-03-25 20:41 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-25 10:12 . 2008-03-25 10:12 <REP> d-------- C:\Program Files\Lavasoft
2008-03-24 20:20 . 2008-03-24 20:18 192,512 --a------ C:\WINDOWS\system32\sx.exe
2008-03-24 20:20 . 2008-03-24 20:18 192,512 --a------ C:\WINDOWS\system32\bggguxgax.exe
2008-03-24 20:19 . 2008-03-24 20:18 192,512 --a------ C:\WINDOWS\system32\vrbatinjxjto.exe
2008-03-24 20:19 . 2008-03-24 20:18 192,512 --a------ C:\WINDOWS\system32\adzawxv.exe
2008-03-18 22:02 . 2008-03-18 22:19 <REP> d-------- C:\Program Files\MySpace
2008-03-18 22:02 . 2008-03-18 22:02 <REP> d-------- C:\Documents and Settings\etchat\Application Data\MySpace
2008-03-16 21:34 . 2004-02-06 19:45 115,016 -ra------ C:\WINDOWS\system32\MSINET.OCX
2008-03-16 21:34 . 2004-02-06 19:45 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2008-03-16 21:34 . 2004-02-06 19:45 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2008-03-16 21:34 . 2004-02-06 19:45 29,184 -ra------ C:\WINDOWS\system32\MSINET.oca
2008-03-16 21:34 . 2004-02-06 19:45 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2008-03-16 21:34 . 2004-02-06 19:45 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll
2008-03-11 15:16 . 2008-03-11 17:33 <REP> d-------- C:\Program Files\FairUse Wizard 2
2008-03-11 15:01 . 2002-07-17 09:20 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-03-11 15:01 . 2002-07-17 08:53 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-03-11 15:01 . 2002-07-17 16:22 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL
2008-03-11 15:01 . 2002-07-17 16:22 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE
2008-03-11 13:10 . 2008-03-11 13:55 <REP> d-------- C:\Documents and Settings\etchat\Application Data\DivX
2008-03-11 13:04 . 2008-03-12 09:31 <REP> d-------- C:\Program Files\DivX
2008-03-11 13:04 . 2008-03-11 13:09 <REP> d-------- C:\Documents and Settings\etchat\Application Data\Dr. DivX 2.0 OSS
2008-03-11 12:25 . 2008-03-11 12:31 <REP> d-------- C:\Program Files\AviSynth 2.5
2008-03-08 12:19 . 2008-03-08 12:19 0 --a------ C:\WINDOWS\hpqEmlSz.INI

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 23:33 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-03-26 10:11 --------- d-----w C:\Documents and Settings\etchat\Application Data\uTorrent
2008-03-25 13:38 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-25 09:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-03-25 07:33 --------- d-----w C:\Program Files\Lx_cats
2008-03-23 14:13 7,069,237 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-03-23 12:23 2,952,192 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-03-22 16:23 227,840 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-03-22 16:23 2,106,880 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-03-22 16:17 3,063,808 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-03-22 16:17 2,106,880 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-03-04 13:59 2,778,112 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-02-22 10:21 3,083,776 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-02-21 02:05 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-21 02:05 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-02-21 02:05 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-02-21 02:05 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 02:03 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-08 18:08 3,181,568 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-02-08 18:08 1,881,088 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-02-08 14:44 --------- d-----w C:\Documents and Settings\etchat\Application Data\Leadertech
2008-02-06 20:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\nView_Profiles
2008-02-05 20:46 --------- d-----w C:\Program Files\Lavalys
2008-02-05 17:01 119,552 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_02_05_17_57_14_small.dmp.zip
2008-02-05 16:57 3,872,768 ----a-w C:\WINDOWS\Internet Logs\xDB9B.tmp
2008-02-05 16:57 1,850,880 ----a-w C:\WINDOWS\Internet Logs\xDB9C.tmp
2008-01-31 17:09 117,436 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_01_31_10_57_48_small.dmp.zip
2008-01-30 18:40 --------- d-----w C:\Program Files\uTorrent
2008-01-21 18:27 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-01-11 18:35 1,746,944 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-12-30 08:43 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-12-29 09:12 116,511 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_12_28_17_00_08_small.dmp.zip
2007-12-23 13:09 2,960,384 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-12-19 16:19 3,256,832 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-12-19 16:19 1,648,640 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-12-12 07:02 118,785 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_12_11_22_33_27_small.dmp.zip
2007-12-03 17:15 16,250,731 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_12_03_03_23_07_full.dmp.zip
2007-12-03 17:15 119,053 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_12_03_03_17_46_small.dmp.zip
2007-11-28 16:51 3,220,992 -c--a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-11-27 14:11 16,267,926 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_11_27_15_07_53_full.dmp.zip
2007-11-27 14:11 122,889 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_11_27_15_07_27_small.dmp.zip
2007-11-17 13:30 16,212,863 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_11_17_14_27_54_full.dmp.zip
2007-11-17 13:30 111,207 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_11_17_14_27_34_small.dmp.zip
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 10:40 270336]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 02:11 925696]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35 716800]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 10:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 10:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 10:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"lxdcamon"="C:\Program Files\Lexmark 1300 Series\lxdcamon.exe" [2007-02-06 00:32 20480]
"LXDCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDCtime.dll" [2007-01-22 23:05 102400]
"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 04:19 69632]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48 290816]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"bggguxgax"="C:\WINDOWS\system32\bggguxgax.exe" [2008-03-24 20:18 192512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-11-07 15:11:32 110592]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:56 65588]
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [2007-11-07 14:58:44 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bggguxgax]
--a------ 2008-03-24 20:18 192512 C:\WINDOWS\system32\bggguxgax.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\WINDOWS\\system32\\lxdccoms.exe"=
"C:\\Program Files\\Lexmark 1300 Series\\lxdcamon.exe"=
"C:\\Program Files\\Lexmark 1300 Series\\App4R.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 lxdc_device;lxdc_device;C:\WINDOWS\system32\lxdccoms.exe [2007-02-13 00:56]
S2 ruo11eoehxoao;Print Spooler Service;C:\WINDOWS\system32\bggguxgax.exe [2008-03-24 20:18]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 00:35:03
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXDCCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
Temps d'accomplissement: 2008-03-27 0:35:30
ComboFix-quarantined-files.txt 2008-03-26 23:35:22
.
2008-03-12 19:03:17 --- E O F ---




merci beaucoup
0
Réponse 2 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 mars 2008 à 11:57
slt, analyse les 4 fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/


C:\WINDOWS\system32\sx.exe
C:\WINDOWS\system32\bggguxgax.exe
C:\WINDOWS\system32\vrbatinjxjto.exe
C:\WINDOWS\system32\adzawxv.exe

___________________



Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)



















je me mets ceci de coté:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [bggguxgax] C:\WINDOWS\system32\bggguxgax.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O23 - Service: Print Spooler Service (ruo11eoehxoao) - Unknown owner - C:\WINDOWS\system32\bggguxgax.exe
0
etgar
27 mars 2008 à 12:59
alors la premiere manip avec virus total ...je ferais la suite cet aprem ... merci encore

pour C:\WINDOWS\system32\vrbatinjxjto.exe

Fichier pic_436.JPEG-inadina_yasamak__hot reçu le 2008.03.26 00:51:08 (CET)
Situation actuelle: terminé
Résultat: 6/31 (19.35%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.26.0 2008.03.25 -
AntiVir 7.6.0.75 2008.03.25 -
Authentium 4.93.8 2008.03.26 -
Avast 4.7.1098.0 2008.03.25 -
AVG 7.5.0.516 2008.03.25 SHeur.AZTK
BitDefender 7.2 2008.03.25 -
CAT-QuickHeal 9.50 2008.03.24 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.25 -
DrWeb 4.44.0.09170 2008.03.25 -
eSafe 7.0.15.0 2008.03.18 Suspicious File
eTrust-Vet 31.3.5643 2008.03.25 -
Ewido 4.0 2008.03.25 -
FileAdvisor 1 2008.03.26 -
Fortinet 3.14.0.0 2008.03.25 -
F-Prot 4.4.2.54 2008.03.25 -
F-Secure 6.70.13260.0 2008.03.25 -
Ikarus T3.1.1.20 2008.03.25 -
Kaspersky 7.0.0.125 2008.03.25 -
McAfee 5259 2008.03.25 -
Microsoft 1.3301 2008.03.26 Backdoor:Win32/Oderoor.gen!B
NOD32v2 2972 2008.03.26 -
Norman 5.80.02 2008.03.25 -
Panda 9.0.0.4 2008.03.25 -
Rising 20.37.02.00 2008.03.24 -
Sophos 4.27.0 2008.03.25 Mal/EncPk-CK
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 -
TheHacker 6.2.92.254 2008.03.25 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.25 -
Webwasher-Gateway 6.6.2 2008.03.25 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 192512 bytes
MD5: c51abb75de3f8f8c225dacfbe1c2c715
SHA1: 5f2ae62c71e1cd13f0400a8dc0b188b8fad91cdc
PEiD: -

pour C:\WINDOWS\system32\sx.exe

Fichier pic_436.JPEG-inadina_yasamak__hot reçu le 2008.03.26 00:51:08 (CET)
Situation actuelle: terminé
Résultat: 6/31 (19.35%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.26.0 2008.03.25 -
AntiVir 7.6.0.75 2008.03.25 -
Authentium 4.93.8 2008.03.26 -
Avast 4.7.1098.0 2008.03.25 -
AVG 7.5.0.516 2008.03.25 SHeur.AZTK
BitDefender 7.2 2008.03.25 -
CAT-QuickHeal 9.50 2008.03.24 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.25 -
DrWeb 4.44.0.09170 2008.03.25 -
eSafe 7.0.15.0 2008.03.18 Suspicious File
eTrust-Vet 31.3.5643 2008.03.25 -
Ewido 4.0 2008.03.25 -
FileAdvisor 1 2008.03.26 -
Fortinet 3.14.0.0 2008.03.25 -
F-Prot 4.4.2.54 2008.03.25 -
F-Secure 6.70.13260.0 2008.03.25 -
Ikarus T3.1.1.20 2008.03.25 -
Kaspersky 7.0.0.125 2008.03.25 -
McAfee 5259 2008.03.25 -
Microsoft 1.3301 2008.03.26 Backdoor:Win32/Oderoor.gen!B
NOD32v2 2972 2008.03.26 -
Norman 5.80.02 2008.03.25 -
Panda 9.0.0.4 2008.03.25 -
Rising 20.37.02.00 2008.03.24 -
Sophos 4.27.0 2008.03.25 Mal/EncPk-CK
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 -
TheHacker 6.2.92.254 2008.03.25 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.25 -
Webwasher-Gateway 6.6.2 2008.03.25 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 192512 bytes
MD5: c51abb75de3f8f8c225dacfbe1c2c715
SHA1: 5f2ae62c71e1cd13f0400a8dc0b188b8fad91cdc
PEiD: -


pour C:\WINDOWS\system32\bggguxgax.exe

Fichier pic_436.JPEG-inadina_yasamak__hot reçu le 2008.03.26 00:51:08 (CET)
Situation actuelle: terminé
Résultat: 6/31 (19.35%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.26.0 2008.03.25 -
AntiVir 7.6.0.75 2008.03.25 -
Authentium 4.93.8 2008.03.26 -
Avast 4.7.1098.0 2008.03.25 -
AVG 7.5.0.516 2008.03.25 SHeur.AZTK
BitDefender 7.2 2008.03.25 -
CAT-QuickHeal 9.50 2008.03.24 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.25 -
DrWeb 4.44.0.09170 2008.03.25 -
eSafe 7.0.15.0 2008.03.18 Suspicious File
eTrust-Vet 31.3.5643 2008.03.25 -
Ewido 4.0 2008.03.25 -
FileAdvisor 1 2008.03.26 -
Fortinet 3.14.0.0 2008.03.25 -
F-Prot 4.4.2.54 2008.03.25 -
F-Secure 6.70.13260.0 2008.03.25 -
Ikarus T3.1.1.20 2008.03.25 -
Kaspersky 7.0.0.125 2008.03.25 -
McAfee 5259 2008.03.25 -
Microsoft 1.3301 2008.03.26 Backdoor:Win32/Oderoor.gen!B
NOD32v2 2972 2008.03.26 -
Norman 5.80.02 2008.03.25 -
Panda 9.0.0.4 2008.03.25 -
Rising 20.37.02.00 2008.03.24 -
Sophos 4.27.0 2008.03.25 Mal/EncPk-CK
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 -
TheHacker 6.2.92.254 2008.03.25 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.25 -
Webwasher-Gateway 6.6.2 2008.03.25 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 192512 bytes
MD5: c51abb75de3f8f8c225dacfbe1c2c715
SHA1: 5f2ae62c71e1cd13f0400a8dc0b188b8fad91cdc
PEiD: -

enfin pour C:\WINDOWS\system32\adzawxv.exe

Fichier pic_436.JPEG-inadina_yasamak__hot reçu le 2008.03.26 00:51:08 (CET)
Situation actuelle: terminé
Résultat: 6/31 (19.35%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.26.0 2008.03.25 -
AntiVir 7.6.0.75 2008.03.25 -
Authentium 4.93.8 2008.03.26 -
Avast 4.7.1098.0 2008.03.25 -
AVG 7.5.0.516 2008.03.25 SHeur.AZTK
BitDefender 7.2 2008.03.25 -
CAT-QuickHeal 9.50 2008.03.24 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.25 -
DrWeb 4.44.0.09170 2008.03.25 -
eSafe 7.0.15.0 2008.03.18 Suspicious File
eTrust-Vet 31.3.5643 2008.03.25 -
Ewido 4.0 2008.03.25 -
FileAdvisor 1 2008.03.26 -
Fortinet 3.14.0.0 2008.03.25 -
F-Prot 4.4.2.54 2008.03.25 -
F-Secure 6.70.13260.0 2008.03.25 -
Ikarus T3.1.1.20 2008.03.25 -
Kaspersky 7.0.0.125 2008.03.25 -
McAfee 5259 2008.03.25 -
Microsoft 1.3301 2008.03.26 Backdoor:Win32/Oderoor.gen!B
NOD32v2 2972 2008.03.26 -
Norman 5.80.02 2008.03.25 -
Panda 9.0.0.4 2008.03.25 -
Rising 20.37.02.00 2008.03.24 -
Sophos 4.27.0 2008.03.25 Mal/EncPk-CK
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 -
TheHacker 6.2.92.254 2008.03.25 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.25 -
Webwasher-Gateway 6.6.2 2008.03.25 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 192512 bytes
MD5: c51abb75de3f8f8c225dacfbe1c2c715
SHA1: 5f2ae62c71e1cd13f0400a8dc0b188b8fad91cdc
PEiD: -
0
Réponse 3 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 mars 2008 à 13:07
ok colle le rapport navilog
0
etgar
28 mars 2008 à 08:58
voila j'ai fais le navilog...


Search Navipromo version 3.5.1 commencé le 28/03/2008 à 8:35:03,34

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "etchat"

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\etchat\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\etchat\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\etchat\menudm~1\progra~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\etchat\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\etchat\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 28/03/2008 à 8:37:08,03 ***


merci
0
Réponse 4 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 mars 2008 à 10:47
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [bggguxgax] C:\WINDOWS\system32\bggguxgax.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O23 - Service: Print Spooler Service (ruo11eoehxoao) - Unknown owner - C:\WINDOWS\system32\bggguxgax.exe

______________


télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :
C:\WINDOWS\system32\sx.exe
C:\WINDOWS\system32\bggguxgax.exe
C:\WINDOWS\system32\vrbatinjxjto.exe
C:\WINDOWS\system32\adzawxv.exe



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

___________________

vire ce qui est dans moved files en allant dans poste de travail puis c puis otmovit

_____________________


colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm

scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html

________
recolle un rapport hijackthis et dis tes soucis acutels
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
etgar
29 mars 2008 à 14:26
la ligne O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) n'apparait plus dans le hijack alors je préfère avoir confirmation de la procédure à suivre aussi je joins le hijack du jour
aussi une autre question; est ce qu'il y a risque que mon systeme devienne instable ? histoire que je prenne les devants en vu d'une reinstallation
merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:44, on 29/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\lxdccoms.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Lexmark 1300 Series\lxdcamon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\bggguxgax.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://support.lexmark.com/index?page=productSelection&channel=supportAndDownloads&locale=en&userlocale=EN_US
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lxdcamon] "C:\Program Files\Lexmark 1300 Series\lxdcamon.exe"
O4 - HKLM\..\Run: [LXDCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [bggguxgax] C:\WINDOWS\system32\bggguxgax.exe
O4 - HKLM\..\RunServices: [bggguxgax] C:\WINDOWS\system32\bggguxgax.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: lxdc_device - - C:\WINDOWS\system32\lxdccoms.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Print Spooler Service (ruo11eoehxoao) - Unknown owner - C:\WINDOWS\system32\bggguxgax.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
0
Réponse 6 / 16
etgar
29 mars 2008 à 14:29
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

c'est bien un truc qui concerne ma carte graphique ça ? faut vraiement que j'y touche?
0
Réponse 7 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 mars 2008 à 14:39
oui car non necessaire au demarrage ( Associated with the newer versions of nVidia graphics cards drivers. Allows you to immensely improve desktop layouts by setting preferences and optimizations. However, this isn't necessary for the operation of your system)


mais si tu le laisse c'est pas grave!
0
etgar
29 mars 2008 à 14:47
sinon je fais tout comme tu dis même sans le O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
merci
0
Réponse 8 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 mars 2008 à 14:49
oui
0
Réponse 9 / 16
etgar
30 mars 2008 à 16:24
alors, le rapport moveit! après la manip fix de hijack,


C:\WINDOWS\system32\sx.exe moved successfully.
C:\WINDOWS\system32\bggguxgax.exe moved successfully.
C:\WINDOWS\system32\vrbatinjxjto.exe moved successfully.
C:\WINDOWS\system32\adzawxv.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03302008_130644


ensuite un totalscan panda en ligne

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-03-30 14:30:53
PROTECTIONS: 1MALWARE: 26
SUSPECTS: 0
;***********************************************************************************************************************************************************************************

PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Bitdefender Antivirus 8.0 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.doubleclick.net/]
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.atdmt.com/]
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{FB9D07C1-7C6B-49E4-935B-F12E65C12670}\RP3\A0000378.exe
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@tradedoubler[2].txt
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.247realmedia.com/]
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.247realmedia.com/]
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@247realmedia[2].txt
00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.yadro.ru/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.xiti.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.xiti.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@xiti[1].txt
00167709 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[fe.lea.lycos.fr/]
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.statcounter.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.apmebf.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@serving-sys[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.serving-sys.com/]
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@bs.serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.bs.serving-sys.com/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.weborama.fr/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.adtech.de/]
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[server.iad.liveperson.net/hc/41409448]
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[server.iad.liveperson.net/]
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[fl01.ct2.comclick.com/]
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[fl01.ct2.comclick.com/]
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[fl01.ct2.comclick.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@advertising[1].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[statse.webtrendslive.com/]
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.bluestreak.com/]
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@bluestreak[2].txt
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.adultfriendfinder.com/]
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Local Settings\Application Data\Mozilla\Firefox\Profiles\9bkxrutv.default\cookies.txt[.adultfriendfinder.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Application Data\Mozilla\Firefox\Profiles\vmx50bij.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\etchat\Cookies\etchat@smartadserver[2].txt
01078336 Trj/Multidropper.RBD Virus/Trojan No 1 Yes No D:\System Volume Information\_restore{6D8B9EAD-593F-4C76-9845-F2E23734070C}\RP63\A0021349.exe
02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{FB9D07C1-7C6B-49E4-935B-F12E65C12670}\RP3\A0000373.exe
02377451 Adware/SaveNow Adware No 0 No No D:\System Volume Information\_restore{00E636AA-8556-4D4B-9FB1-A95435488D7B}\RP44\A0014106.exe[AdVantageSetup.exe]
02893893 Trj/Bancos.RQ Virus/Trojan No 0 No No D:\System Volume Information\_restore{FB9D07C1-7C6B-49E4-935B-F12E65C12670}\RP2\A0000143.exe[327882R2FWJFW\pv.cfexe]
02893893 Trj/Bancos.RQ Virus/Trojan No 0 No No C:\System Volume Information\_restore{FB9D07C1-7C6B-49E4-935B-F12E65C12670}\RP2\A0000191.exe[327882R2FWJFW\pv.cfexe]
;===================================================================================================================================================================================
SUSPECTS
Location


;===================================================================================================================================================================================
;===================================================================================================================================================================================

je ne peux pas desinfecter avec panda alors j'ai fais un scan en ligne avec trendmicro là je ne peux pas faire de rapport mais il m'a viré quelques cookies mais il n'a pas trouvé les deux trojan d'avec panda

j'ai redémarré en desactivant la restauration systeme, bggguxgax.exe ne c'est pas lancé a démarrage et mes quatre .exe louches sont bien virés
j'ai fais le hijack; il me reste

O23 - Service: Print Spooler Service (ruo11eoehxoao) - Unknown owner - C:\WINDOWS\system32\bggguxgax.exe
(est ce que je dois fixer à nouveau la ligne avec hijack?)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:36, on 30/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\lxdccoms.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Lexmark 1300 Series\lxdcamon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://support.lexmark.com/index?page=productSelection&channel=supportAndDownloads&locale=en&userlocale=EN_US
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lxdcamon] "C:\Program Files\Lexmark 1300 Series\lxdcamon.exe"
O4 - HKLM\..\Run: [LXDCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: lxdc_device - - C:\WINDOWS\system32\lxdccoms.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Print Spooler Service (ruo11eoehxoao) - Unknown owner - C:\WINDOWS\system32\bggguxgax.exe (file missing)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
0
Réponse 10 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 mars 2008 à 17:25
utilise pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html


____________

oui fix:

O23 - Service: Print Spooler Service (ruo11eoehxoao) - Unknown owner - C:\WINDOWS\system32\bggguxgax.exe
(est ce que je dois fixer à nouveau la ligne avec hijack?)

_____________

bitdefender est tres bien , tu peux lui associer en gratuit spybot sans activer le tea timer et ccleaner



sinon



pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
WINDOWS DEFENDER ou SPYWARE TERMINATOR

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/
0
Réponse 11 / 16
etgar
30 mars 2008 à 18:11
voila plus qu'il ne m'en fallait, merci beaucoup!!!


je viens de virer bitdefender et j'essaye avast, antivir j'ai cru comprendre qu'il n'y avais pas de protection spyware
wait and see!!!

encore mille mercis
0
Réponse 12 / 16
etgar
30 mars 2008 à 18:41
euh j'ai beau fixer avec hijack la ligne:
O23 - Service: Print Spooler Service (ruo11eoehxoao) - Unknown owner - C:\WINDOWS\system32\bggguxgax.exe (file missing)
reste toujours là?
0
Réponse 13 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 mars 2008 à 18:55
cliquez sur Démarrer > Executer... > services.msc


puis desactive le service Print Spooler Service


puis fix la ligne

puis redemare l'ordi
0
Réponse 14 / 16
etgar
30 mars 2008 à 19:27
quand je desactive le service, la ligne n'apparait plus dans hijack..
0
Réponse 15 / 16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
31 mars 2008 à 09:28
ok encore des soucis?
0
Réponse 16 / 16
etgar
31 mars 2008 à 09:58
non pas de problemes notables....

j'ai finalement opté pour antivir et spyware terminator qui m'ont virés quelques cochonneries supplémentaires!
de toutes façon je me prendrais tot ou tard une journée pour reinstaller mon systeme proprement c'est plus sur

encore merci
0