virus security toolbar 7.1

Question

Bonjours, g un problème avec security toolbar 7.1 voici le rapport de hijackthis 


Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 11:59:28, on 26/04/2008 
Platform: Windows XP SP2 (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
C:\Program Files\Alwil Software\Avast4\ashServ.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe 
C:\WINDOWS\System32\FTRTSVC.exe 
C:\WINDOWS\system32\srksrv.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe 
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 
C:\WINDOWS\system32\wuauclt.exe 
C:\WINDOWS\system32\WgaTray.exe 
C:\WINDOWS\Explorer.EXE 
C:\Program Files\NetProject\scit.exe 
C:\Program Files\NetProject\scm.exe 
C:\Program Files\NetProject\sbmntr.exe 
C:\Program Files\NetProject\sbsm.exe 
C:\Program Files\Search Settings\SearchSettings.exe 
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe 
C:\Program Files\SpyNoMore\SNM.exe 
C:\WINDOWS\System32\svchost.exe 
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe 
C:\Corel\Graphics8\Programs\MFIndexer.exe 
C:\Program Files\MSN Messenger\msnmsgr.exe 
C:\WINDOWS\system32undll32.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\PROGRA~1\Wanadoo\ComComp.exe 
C:\Program Files\MSN Messenger\usnsvc.exe 
C:\WINDOWS\system32\wuauclt.exe 
C:\Documents and Settings\pelage\Bureau\HiJackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) 
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) 
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll 
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\ColorUtility\ColorUtility.dll 
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Program Files\NetProject\sbmdl.dll 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: 717305 helper - {963916CD-6311-485D-93DC-3BD1B9E2D2CB} - (no file) 
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll 
O2 - BHO: Video decompressor - {F38636ED-E66E-4A37-822E-0C01F64D6605} - C:\WINDOWS\pandsf.dll (file missing) 
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) 
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL 
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) 
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Program Files\NetProject\wamdl.dll 
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe" 
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe 
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe" 
O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup 
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 
O4 - HKCU\..\Run: [WinSpywareProtect (ver. 5.1)] "C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun 
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe 
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O4 - Startup: Convertisseur Euro.lnk = ? 
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe 
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE 
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing) 
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing) 
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) 
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU) 
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll 
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/fr_FR/DjVuControl_fr_FR.cab 
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab 
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL 
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - (no file) 
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe 
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe 
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe 
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe 
O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe 
O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg 
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg 
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg 
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2 
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg

Merci d'avance !!!!

jorginho67 · Answer

Salut !

tu t'es fait avoir par NetProject entre autres..

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
    
Installe le à la racine de C : tuto d'utilisation
Double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation  option 1  Recherche :
Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Ne fais rien d'autre sans notre avis

Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 



@+

maoudi · Answer

Escuse moi pour le temp voici le rapport: 

SmitFraudFix v2.319

Rapport fait à 14:52:20,14, 26/04/2008
Executé à partir de E:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\NetProject\scit.exe
C:\Program Files\NetProject\scm.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\Program Files\SpyNoMore\SNM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pelage


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pelage\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\pelage\Favoris

C:\DOCUME~1\pelage\Favoris\Online Security Test.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\Files-Secure\ PRESENT !
C:\Program Files\NetProject\ PRESENT !
C:\Program Files\VirusHeat 4.3\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg"
"SubscribedURL"="https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg"
"FriendlyName"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="http://www.nuhunter.com/pictures/232-karla-spice.jpg"
"SubscribedURL"="http://www.nuhunter.com/pictures/232-karla-spice.jpg"
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg"
"SubscribedURL"="https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg"
"FriendlyName"=""

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b0fdc513-46b9-46fc-8e70-d575ee546dae}"="frowardness"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

jorginho67 · Answer

Bien joué...

On continue !

Option 2

Redémarre en mode sans échec :
Pour cela,  tapotes la touche F8 (Si F8 ne marche pas utilise la touche F5).

 dès le début de l’allumage du pc sans t’arrêter.
 Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
 Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !

comment demarrer en mode sans echec en images

-------------------------------------------------------------------------------
 Double clique sur smitfraudfix.cmd 
 Cette fois choisit l’option 2 !!
 répond oui (o) à tout 

Une fois le nettoyage terminé, SmitFraudfix ouvre le rapport de nettoyage sur le bloc-note.
Redémarre l'ordinateur en mode normal (comme d'habitude),
Sur le  bureau doit se trouver le rapport enregistré (sinon il est sur le Poste de Travail / Disque C / rapport.txt)
Refais un log Hitjackthis et poste les  rapports s'il te plait !


@+

maoudi · Answer

J'ai fait ce tout ce que tu ma dit voici les rapports

SmitFraudFix v2.319

Rapport fait à 16:18:52,75, 26/04/2008
Executé à partir de E:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b0fdc513-46b9-46fc-8e70-d575ee546dae}"="frowardness"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url supprimé
C:\DOCUME~1\pelage\Favoris\Online Security Test.url supprimé
C:\Program Files\Files-Secure\ supprimé
C:\Program Files\NetProject\ supprimé
C:\Program Files\VirusHeat 4.3\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b0fdc513-46b9-46fc-8e70-d575ee546dae}"="frowardness"



»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

SmitFraudFix v2.319

Rapport fait à 16:38:54,42, 26/04/2008
Executé à partir de E:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\DOCUME~1\pelage\LOCALS~1\Temp\~nsu.tmp\Au_.exe
C:\Program Files\SpyNoMore\SNM.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pelage


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pelage\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\pelage\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg"
"SubscribedURL"="https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg"
"FriendlyName"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="http://www.nuhunter.com/pictures/232-karla-spice.jpg"
"SubscribedURL"="http://www.nuhunter.com/pictures/232-karla-spice.jpg"
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg"
"SubscribedURL"="https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg"
"FriendlyName"=""

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b0fdc513-46b9-46fc-8e70-d575ee546dae}"="frowardness"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

jorginho67 · Answer

ok !

Télécharge ceci: Lopxp (by Moe) :

Double clic sur Lopxpsetup.exe pour lancer l'installation
Au menu, choisir l'option 1
Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer !
Un rapport sera créé,copie/colle le en entier sur ta prochaine réponse stp. 

@+

maoudi · Answer

Ok Voici le rapport de lopxp


# Rapport Lopxp fait le 26/04/2008 à 17:10:28
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008


========== Listing des dossiers Application Data

+- C:\Documents and Settings\All Users\Application Data

 2007-04-30 à 20:04:21 - Adobe 
 2008-04-26 à 10:24:17 - Adsl Software Limited
 2008-03-27 à 23:18:09 - Bags Plus Online Chin
 2008-01-03 à 23:46:59 - G DATA
 2008-01-11 à 22:51:59 - Google 
 2008-01-13 à 01:26:46 - Grisoft 
 2007-06-02 à 19:50:42 - McAfee 
 2007-05-30 à 01:39:12 - McAfee.com 
 2007-05-29 à 18:20:53 - McAfee.com Personal Firewall
 2008-03-02 à 02:30:39 - Messenger Plus!
 2007-07-04 à 09:12:54 - Messenger Plus!(2)
 2008-03-27 à 22:36:04 - Microsoft 
 2007-04-28 à 15:21:37 - MSN6 
 2007-08-02 à 10:28:02 - RapidSolution 
 2007-09-14 à 00:30:10 - Real 
 2007-07-04 à 09:12:10 - Skype 
 2008-04-26 à 10:30:49 - TEMP 
 2008-03-02 à 01:45:14 - Ulead Systems
 2007-04-28 à 15:47:44 - Windows Genuine Advantage
 2007-11-03 à 11:04:55 - Windows Live Toolbar
 2008-01-02 à 11:12:10 - WindowsLiveInstaller 
 2008-03-27 à 07:53:55 - WLInstaller 
 2008-02-01 à 23:54:19 - Yahoo! Companion

+- C:\Documents and Settings\pelage\Application Data

 2008-01-24 à 00:38:40 - Adobe 
 2007-04-30 à 20:01:13 - AdobeUM 
 2008-04-26 à 10:24:18 - Adsl Software Limited
 2007-05-01 à 04:36:41 - Corel 
 2007-05-07 à 17:26:52 - DivX 
 2008-02-27 à 10:21:57 - EoRezo 
 2007-04-29 à 12:08:48 - fltk.org 
 2008-01-01 à 21:56:28 - GetRightToGo 
 2007-04-29 à 10:19:33 - Google 
 2007-04-28 à 14:23:21 - Help 
 2007-04-28 à 10:22:28 - Identities 
 2008-01-03 à 17:35:38 - InstallShield 
 2007-10-18 à 01:39:41 - ItsLabel 
 2007-12-08 à 19:25:29 - LimeWire 
 2007-04-28 à 14:09:59 - Macromedia 
 2007-05-29 à 19:08:16 - McAfee.com Personal Firewall
 2007-05-10 à 17:58:31 - Media Player Classic
 2007-06-02 à 09:56:34 - MeeLive 
 2008-02-16 à 23:49:16 - Microsoft 
 2008-03-27 à 01:16:46 - MSN6 
 2007-04-28 à 14:43:11 - MSNInstaller 
 2008-04-21 à 08:12:26 - ObjAmenBurn 
 2007-07-22 à 11:03:09 - Real 
 2008-01-02 à 17:06:39 - Screenshot Sender
 2007-12-25 à 19:33:48 - Search Settings
 2007-06-02 à 16:20:38 - SiteAdvisor 
 2008-03-24 à 00:58:28 - Skype 
 2008-03-02 à 01:05:15 - Ulead Systems
 2008-01-25 à 23:32:14 - vlc 
 2008-02-01 à 23:54:19 - Yahoo! 

+- C:\Documents and Settings\pelage\Local Settings\Application Data

 2007-04-29 à 12:24:01 - Adobe 
 2007-05-26 à 12:59:48 - Ahead 
 2007-04-29 à 10:19:33 - Google 
 2007-04-28 à 14:23:21 - Help 
 2007-05-14 à 07:40:08 - Identities 
 2008-04-26 à 01:33:54 - Microsoft 
 2008-03-12 à 05:47:26 - Netlog 
 2007-09-05 à 22:55:59 - Pando 
 2007-08-02 à 10:28:05 - RapidSolution 
 2007-09-14 à 00:30:10 - Real 
 2007-06-13 à 19:14:25 - WMTools Downloaded Files
 2007-09-05 à 22:45:59 - {7B279561-FBF9-4C9E-9E3D-B3785DCF04E3} 

========== Listing du dossier Program Files

+- C:\Program Files

 2007-04-28 à 10:52:52 - Adobe 
 2007-12-25 à 12:19:49 - Ahead 
 2007-09-06 à 05:50:13 - Alwil Software
 2007-07-22 à 12:15:38 - AtomixMP3 
 2007-08-05 à 12:03:47 - ATT 
 2007-07-16 à 15:18:57 - Axon Data
 2008-04-26 à 10:24:31 - ColorUtility 
 2007-04-28 à 10:05:03 - ComPlus Applications
 2007-04-29 à 09:08:28 - Convertisseur Euro
 2008-03-27 à 23:16:12 - DivX 
 2007-09-08 à 12:34:02 - Easy Movie Splitter
 2008-04-26 à 13:33:48 - eMule 
 2007-11-11 à 23:18:21 - Enigma Software Group
 2008-02-27 à 10:22:00 - EoRezo 
 2008-01-25 à 23:14:01 - EuroThink 
 2007-08-29 à 16:39:13 - Everstrike Software
 2008-03-09 à 22:31:30 - Fake Webcam
 2008-04-26 à 13:14:08 - Fichiers communs
 2008-01-09 à 20:01:58 - G DATA AntiVirusKit Trial
 2008-01-12 à 18:35:35 - Google 
 2008-03-02 à 01:46:37 - InstallShield Installation Information
 2008-04-26 à 15:09:33 - Internet Explorer
 2007-10-18 à 07:15:34 - ItsLabel 
 2007-04-29 à 16:37:52 - IZArc 
 2008-03-22 à 23:02:47 - Java 
 2007-05-10 à 17:57:51 - K-Lite Codec Pack
 2007-07-22 à 11:58:32 - Kreatives.org 
 2007-08-05 à 12:33:34 - LizardTech 
 2008-04-26 à 20:10:32 - Lopxp 
 2007-06-02 à 09:58:35 - MeeLive 
 2007-09-18 à 23:30:46 - Messenger 
 2008-03-30 à 09:11:32 - Messenger Plus! Live
 2007-07-04 à 09:12:55 - MessengerPlus! 3(2)
 2008-03-27 à 23:15:02 - MessengerPlus! 3(3)
 2008-02-28 à 01:05:29 - MessenPass 
 2007-04-28 à 10:12:25 - microsoft frontpage
 2007-04-28 à 10:46:27 - Microsoft Office
 2007-10-24 à 13:34:33 - Microsoft Windows Script
 2007-06-11 à 12:32:17 - Movie Maker
 2008-03-27 à 01:26:31 - MSN 
 2008-01-06 à 00:49:23 - MSN Content Plus Inc
 2007-04-28 à 10:04:11 - MSN Gaming Zone
 2008-03-27 à 23:18:03 - MSN Messenger
 2008-01-10 à 00:43:37 - Msncolor 
 2007-07-22 à 12:19:06 - MyXOFT 
 2008-04-26 à 14:35:40 - Navilog1 
 2008-03-12 à 05:47:37 - Netlog 24
 2007-04-28 à 10:06:58 - NetMeeting 
 2007-04-28 à 10:04:28 - Online Services
 2007-06-14 à 09:37:03 - Outlook Express
 2007-09-05 à 22:48:17 - PandoBar 
 2007-08-02 à 10:28:00 - PixiePack Codec Pack
 2007-07-16 à 15:29:12 - Prophet Soft
 2007-08-02 à 10:27:20 - RapidSolution 
 2007-09-27 à 23:57:40 - Real Alternative
 2008-03-08 à 22:29:15 - RomStation 
 2007-09-25 à 23:59:40 - Sarkophage 
 2007-12-25 à 17:34:36 - Search Settings
 2007-04-28 à 13:57:22 - Securitoo 
 2007-04-28 à 10:07:57 - Services en ligne
 2007-07-03 à 22:36:21 - Skype 
 2008-04-26 à 12:30:04 - StuffPlug3 
 2007-10-18 à 01:42:23 - SynthPronosPlusSha 
 2008-03-02 à 01:00:51 - Ulead Systems
 2008-04-25 à 22:25:26 - UnHackMe 
 2007-04-28 à 10:22:25 - Uninstall Information
 2007-08-26 à 15:07:29 - Vista Start Menu
 2008-04-26 à 14:35:44 - Wanadoo 
 2008-01-22 à 11:34:50 - Weflirt 
 2008-03-27 à 23:17:31 - Windows Live
 2008-01-05 à 10:11:37 - Windows Live Toolbar
 2007-09-01 à 02:17:05 - Windows Media Player
 2007-04-28 à 10:04:00 - Windows NT
 2007-04-28 à 10:08:06 - WindowsUpdate 
 2007-10-16 à 01:01:20 - WinRAR 
 2008-04-26 à 03:45:38 - WinSpyKiller 
 2007-04-28 à 10:12:26 - xerox 

========== Tâches planifiées

Aucune tâche planifiée détecté.

========== Clés registre


========== Bloqueur popups Internet Explorer

 www.3suisses.fr
 www.neopets.com
 www.jeuxvideo.com
 www.clubic.com
 *.mangasexe.org
 www.newlook.fr
 forum.zebulon.fr
 64.233.179.104
 *.telecharger.01net.com
 www.forum-microsoft.org
 www.presence-pc.com
 sexe.annuaire-lien.com
 www.unss.org
 www.yahbon.com
 *.ct2.comclick.com
 www.coquinette.net
 www.vacheries.fr
 mb.smartmovies.net
 www.electric-mangas.com
 www.hentai-powa.com
 www.allosponsor.com
 ks300732.kimsufi.com
 *.hentairoyal.canalblog.com
 www.hentai-sex-and-toons.com
 www.gamekult.com
 popmedia.carpediem.fr
 ryu28.free.fr
 www.hentaiovore.com
 www.dicsite.com
 www.mybittorrent.com
 www.canal-manga.net
 www.lemmefind.fr
 www.securitetotale.com
 www.hentai-fr.com
 dbz.hentai-suki.com
 www.picarena.com
 hentai.zemanga.com
 www.besthentai4u.com
 fr.wedoo.com
 www.bleach-hentai.fr
 www.bleach-hentai.net
 creative.clicksor.com
 www.boncharme.com
 www.hentai-hentail.com
 www.rabbitfinder.com
 www.bitoku.com
 www.mangamaniaxxx.com
 babesland.maisonx.com
 *.mangamaniaxxx.com
 *.online.free.fr
 www.collection-hentai.com
 mangas-1389.y-top.com
 www.hentai-3x.com
 www.hentailord.com
 mangasx.the-sexe-gratuit.com
 *.xxx-animatrix.com
 www.animemafia.com
 www.hentaicrack.com
 *.green-toons.com
 www.hentaiuniversity.com
 www.hentaiperversion.com
 www.hentailife.com
 www.hentaiclan.com
 www.hentaidigest.com
 fullanimes.free.fr
 *.majoke.com
 telecharger.yacapa.com
 www.escolar.com
 www.zoozle.net
 recherche.skyrock.com
 sabinou972.skyrock.com
 pinkiss-972.skyrock.com
 hentai9.skyrock.com
 hentai65.skyrock.com
 websites.adultartnetwork.com
 babelfish.altavista.com
 www.hentaixxxtreme.com
 www.cartoon-area.com
 *.megaupload.net
 hentaisanctuary.free.fr
 www.psicofxp.com
 *.asselin.free.fr
 www.animesdown.com
 mysearchnow.com
 www.mysearchnow.com
 littlechacal972.skyrock.com
 misty97224.skyrock.com
 lil-sox972.skyrock.com
 lilou97two24.skyrock.com
 didinouu972.skyrock.com
 devil97224.skyrock.com
 tekbuddy.skyrock.com
 sheherazade972.skyrock.com
 chouchounett9724.skyrock.com
 caco972.skyrock.com
 www.missglad.com
 www.animesis.com
 www.maxxiweb.com
 www.wallpapers-manga.com
 www.allocine.fr
 musique.ados.fr
 www.msncreative.net
 www.videos-hentai.net
 lylys97two.skyrock.com
 ti-speedy.skyrock.com
 les-zines97224.skyrock.com
 flo97two.skyrock.com
 forum.doctissimo.fr
 www.sexyflirt.fr
 princess-tity.skyrock.com
 *.paper.free.fr
 www.divx-hentai.com
 recherche.hit-parade.com
 santsuke.skyrock.com
 marinedu972.skyrock.com
 mq.nrjantilles.com
 fr.netlog.com
 *.hotmail.msn.com
 netbios-wait.com
 www.netbios-wait.com
 *.securewebinfo.com
 *.safetyincludes.com
 *.securemanaging.com

==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========

C:\Documents and Settings\All Users\Application Data\Bags Plus Online Chin
C:\Documents and Settings\pelage\Application Data\ObjAmenBurn

+- Registre:

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow]
"mysearchnow.com"=-
"www.mysearchnow.com"=-
"netbios-wait.com"=-
"www.netbios-wait.com"=-



- Fin du rapport -

jorginho67 · Answer

Bien....

Ouvre le Menu Démarrer et clic sur Exécuter
Dans la boîte de dialogue qui va s'ouvrir, copie et colle exactement tout ce qui est en gras ci-dessous 

"%programfiles%\Lopxp\Lopxp.bat" /Fixme

Lopxp va se lancer et te demander de confirmer si tu veux bien supprimer : 



Accepte et confirme à chaque fois en tapant Y

Pendant cette étape le TeaTimer de Spybot (la protection en temps réel) peut t'alerter sur des modification du registre.
Si c'est le cas, accepte ces modifications.

Une fois le scan terminé :
Poste le rapport Lopxp sur le forum.

maoudi · Answer

Ok voici le nouveau rapport

# Rapport Lopxp fait le 26/04/2008 à 17:45:58
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008


========== FixLog ==========


+- C:\Documents and Settings\All Users\Application Data\Bags Plus Online Chin
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- C:\Documents and Settings\pelage\Application Data\ObjAmenBurn
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- Registre :
Nettoyage effectué.

+- Fichiers temporaires :
Nettoyage effectué.


========== Listing des dossiers Application Data

+- C:\Documents and Settings\All Users\Application Data

 2007-04-30 à 20:04:21 - Adobe 
 2008-04-26 à 10:24:17 - Adsl Software Limited
 2008-01-03 à 23:46:59 - G DATA
 2008-01-11 à 22:51:59 - Google 
 2008-01-13 à 01:26:46 - Grisoft 
 2007-06-02 à 19:50:42 - McAfee 
 2007-05-30 à 01:39:12 - McAfee.com 
 2007-05-29 à 18:20:53 - McAfee.com Personal Firewall
 2008-03-02 à 02:30:39 - Messenger Plus!
 2007-07-04 à 09:12:54 - Messenger Plus!(2)
 2008-03-27 à 22:36:04 - Microsoft 
 2007-04-28 à 15:21:37 - MSN6 
 2007-08-02 à 10:28:02 - RapidSolution 
 2007-09-14 à 00:30:10 - Real 
 2007-07-04 à 09:12:10 - Skype 
 2008-04-26 à 10:30:49 - TEMP 
 2008-03-02 à 01:45:14 - Ulead Systems
 2007-04-28 à 15:47:44 - Windows Genuine Advantage
 2007-11-03 à 11:04:55 - Windows Live Toolbar
 2008-01-02 à 11:12:10 - WindowsLiveInstaller 
 2008-03-27 à 07:53:55 - WLInstaller 
 2008-02-01 à 23:54:19 - Yahoo! Companion

+- C:\Documents and Settings\pelage\Application Data

 2008-01-24 à 00:38:40 - Adobe 
 2007-04-30 à 20:01:13 - AdobeUM 
 2008-04-26 à 10:24:18 - Adsl Software Limited
 2007-05-01 à 04:36:41 - Corel 
 2007-05-07 à 17:26:52 - DivX 
 2008-02-27 à 10:21:57 - EoRezo 
 2007-04-29 à 12:08:48 - fltk.org 
 2008-01-01 à 21:56:28 - GetRightToGo 
 2007-04-29 à 10:19:33 - Google 
 2007-04-28 à 14:23:21 - Help 
 2007-04-28 à 10:22:28 - Identities 
 2008-01-03 à 17:35:38 - InstallShield 
 2007-10-18 à 01:39:41 - ItsLabel 
 2007-12-08 à 19:25:29 - LimeWire 
 2007-04-28 à 14:09:59 - Macromedia 
 2007-05-29 à 19:08:16 - McAfee.com Personal Firewall
 2007-05-10 à 17:58:31 - Media Player Classic
 2007-06-02 à 09:56:34 - MeeLive 
 2008-02-16 à 23:49:16 - Microsoft 
 2008-03-27 à 01:16:46 - MSN6 
 2007-04-28 à 14:43:11 - MSNInstaller 
 2007-07-22 à 11:03:09 - Real 
 2008-01-02 à 17:06:39 - Screenshot Sender
 2007-12-25 à 19:33:48 - Search Settings
 2007-06-02 à 16:20:38 - SiteAdvisor 
 2008-03-24 à 00:58:28 - Skype 
 2008-03-02 à 01:05:15 - Ulead Systems
 2008-01-25 à 23:32:14 - vlc 
 2008-02-01 à 23:54:19 - Yahoo! 

+- C:\Documents and Settings\pelage\Local Settings\Application Data

 2007-04-29 à 12:24:01 - Adobe 
 2007-05-26 à 12:59:48 - Ahead 
 2007-04-29 à 10:19:33 - Google 
 2007-04-28 à 14:23:21 - Help 
 2007-05-14 à 07:40:08 - Identities 
 2008-04-26 à 01:33:54 - Microsoft 
 2008-03-12 à 05:47:26 - Netlog 
 2007-09-05 à 22:55:59 - Pando 
 2007-08-02 à 10:28:05 - RapidSolution 
 2007-09-14 à 00:30:10 - Real 
 2007-06-13 à 19:14:25 - WMTools Downloaded Files
 2007-09-05 à 22:45:59 - {7B279561-FBF9-4C9E-9E3D-B3785DCF04E3} 

========== Listing du dossier Program Files

+- C:\Program Files

 2007-04-28 à 10:52:52 - Adobe 
 2007-12-25 à 12:19:49 - Ahead 
 2007-09-06 à 05:50:13 - Alwil Software
 2007-07-22 à 12:15:38 - AtomixMP3 
 2007-08-05 à 12:03:47 - ATT 
 2007-07-16 à 15:18:57 - Axon Data
 2008-04-26 à 10:24:31 - ColorUtility 
 2007-04-28 à 10:05:03 - ComPlus Applications
 2007-04-29 à 09:08:28 - Convertisseur Euro
 2008-03-27 à 23:16:12 - DivX 
 2007-09-08 à 12:34:02 - Easy Movie Splitter
 2008-04-26 à 13:33:48 - eMule 
 2007-11-11 à 23:18:21 - Enigma Software Group
 2008-02-27 à 10:22:00 - EoRezo 
 2008-01-25 à 23:14:01 - EuroThink 
 2007-08-29 à 16:39:13 - Everstrike Software
 2008-03-09 à 22:31:30 - Fake Webcam
 2008-04-26 à 13:14:08 - Fichiers communs
 2008-01-09 à 20:01:58 - G DATA AntiVirusKit Trial
 2008-01-12 à 18:35:35 - Google 
 2008-03-02 à 01:46:37 - InstallShield Installation Information
 2008-04-26 à 15:09:33 - Internet Explorer
 2007-10-18 à 07:15:34 - ItsLabel 
 2007-04-29 à 16:37:52 - IZArc 
 2008-03-22 à 23:02:47 - Java 
 2007-05-10 à 17:57:51 - K-Lite Codec Pack
 2007-07-22 à 11:58:32 - Kreatives.org 
 2007-08-05 à 12:33:34 - LizardTech 
 2008-04-26 à 20:46:15 - Lopxp 
 2007-06-02 à 09:58:35 - MeeLive 
 2007-09-18 à 23:30:46 - Messenger 
 2008-03-30 à 09:11:32 - Messenger Plus! Live
 2007-07-04 à 09:12:55 - MessengerPlus! 3(2)
 2008-03-27 à 23:15:02 - MessengerPlus! 3(3)
 2008-02-28 à 01:05:29 - MessenPass 
 2007-04-28 à 10:12:25 - microsoft frontpage
 2007-04-28 à 10:46:27 - Microsoft Office
 2007-10-24 à 13:34:33 - Microsoft Windows Script
 2007-06-11 à 12:32:17 - Movie Maker
 2008-03-27 à 01:26:31 - MSN 
 2008-01-06 à 00:49:23 - MSN Content Plus Inc
 2007-04-28 à 10:04:11 - MSN Gaming Zone
 2008-03-27 à 23:18:03 - MSN Messenger
 2008-01-10 à 00:43:37 - Msncolor 
 2007-07-22 à 12:19:06 - MyXOFT 
 2008-04-26 à 14:35:40 - Navilog1 
 2008-03-12 à 05:47:37 - Netlog 24
 2007-04-28 à 10:06:58 - NetMeeting 
 2007-04-28 à 10:04:28 - Online Services
 2007-06-14 à 09:37:03 - Outlook Express
 2007-09-05 à 22:48:17 - PandoBar 
 2007-08-02 à 10:28:00 - PixiePack Codec Pack
 2007-07-16 à 15:29:12 - Prophet Soft
 2007-08-02 à 10:27:20 - RapidSolution 
 2007-09-27 à 23:57:40 - Real Alternative
 2008-03-08 à 22:29:15 - RomStation 
 2007-09-25 à 23:59:40 - Sarkophage 
 2007-12-25 à 17:34:36 - Search Settings
 2007-04-28 à 13:57:22 - Securitoo 
 2007-04-28 à 10:07:57 - Services en ligne
 2007-07-03 à 22:36:21 - Skype 
 2008-04-26 à 12:30:04 - StuffPlug3 
 2007-10-18 à 01:42:23 - SynthPronosPlusSha 
 2008-03-02 à 01:00:51 - Ulead Systems
 2008-04-25 à 22:25:26 - UnHackMe 
 2007-04-28 à 10:22:25 - Uninstall Information
 2007-08-26 à 15:07:29 - Vista Start Menu
 2008-04-26 à 14:35:44 - Wanadoo 
 2008-01-22 à 11:34:50 - Weflirt 
 2008-03-27 à 23:17:31 - Windows Live
 2008-01-05 à 10:11:37 - Windows Live Toolbar
 2007-09-01 à 02:17:05 - Windows Media Player
 2007-04-28 à 10:04:00 - Windows NT
 2007-04-28 à 10:08:06 - WindowsUpdate 
 2007-10-16 à 01:01:20 - WinRAR 
 2008-04-26 à 03:45:38 - WinSpyKiller 
 2007-04-28 à 10:12:26 - xerox 

========== Tâches planifiées

Aucune tâche planifiée détecté.

========== Clés registre


========== Bloqueur popups Internet Explorer

 www.3suisses.fr
 www.neopets.com
 www.jeuxvideo.com
 www.clubic.com
 *.mangasexe.org
 www.newlook.fr
 forum.zebulon.fr
 64.233.179.104
 *.telecharger.01net.com
 www.forum-microsoft.org
 www.presence-pc.com
 sexe.annuaire-lien.com
 www.unss.org
 www.yahbon.com
 *.ct2.comclick.com
 www.coquinette.net
 www.vacheries.fr
 mb.smartmovies.net
 www.electric-mangas.com
 www.hentai-powa.com
 www.allosponsor.com
 ks300732.kimsufi.com
 *.hentairoyal.canalblog.com
 www.hentai-sex-and-toons.com
 www.gamekult.com
 popmedia.carpediem.fr
 ryu28.free.fr
 www.hentaiovore.com
 www.dicsite.com
 www.mybittorrent.com
 www.canal-manga.net
 www.lemmefind.fr
 www.securitetotale.com
 www.hentai-fr.com
 dbz.hentai-suki.com
 www.picarena.com
 hentai.zemanga.com
 www.besthentai4u.com
 fr.wedoo.com
 www.bleach-hentai.fr
 www.bleach-hentai.net
 creative.clicksor.com
 www.boncharme.com
 www.hentai-hentail.com
 www.rabbitfinder.com
 www.bitoku.com
 www.mangamaniaxxx.com
 babesland.maisonx.com
 *.mangamaniaxxx.com
 *.online.free.fr
 www.collection-hentai.com
 mangas-1389.y-top.com
 www.hentai-3x.com
 www.hentailord.com
 mangasx.the-sexe-gratuit.com
 *.xxx-animatrix.com
 www.animemafia.com
 www.hentaicrack.com
 *.green-toons.com
 www.hentaiuniversity.com
 www.hentaiperversion.com
 www.hentailife.com
 www.hentaiclan.com
 www.hentaidigest.com
 fullanimes.free.fr
 *.majoke.com
 telecharger.yacapa.com
 www.escolar.com
 www.zoozle.net
 recherche.skyrock.com
 sabinou972.skyrock.com
 pinkiss-972.skyrock.com
 hentai9.skyrock.com
 hentai65.skyrock.com
 websites.adultartnetwork.com
 babelfish.altavista.com
 www.hentaixxxtreme.com
 www.cartoon-area.com
 *.megaupload.net
 hentaisanctuary.free.fr
 www.psicofxp.com
 *.asselin.free.fr
 www.animesdown.com
 littlechacal972.skyrock.com
 misty97224.skyrock.com
 lil-sox972.skyrock.com
 lilou97two24.skyrock.com
 didinouu972.skyrock.com
 devil97224.skyrock.com
 tekbuddy.skyrock.com
 sheherazade972.skyrock.com
 chouchounett9724.skyrock.com
 caco972.skyrock.com
 www.missglad.com
 www.animesis.com
 www.maxxiweb.com
 www.wallpapers-manga.com
 www.allocine.fr
 musique.ados.fr
 www.msncreative.net
 www.videos-hentai.net
 lylys97two.skyrock.com
 ti-speedy.skyrock.com
 les-zines97224.skyrock.com
 flo97two.skyrock.com
 forum.doctissimo.fr
 www.sexyflirt.fr
 princess-tity.skyrock.com
 *.paper.free.fr
 www.divx-hentai.com
 recherche.hit-parade.com
 santsuke.skyrock.com
 marinedu972.skyrock.com
 mq.nrjantilles.com
 fr.netlog.com
 *.hotmail.msn.com
 *.securewebinfo.com
 *.safetyincludes.com
 *.securemanaging.com

==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========

+- Dossiers\Fichiers : Aucune suggestion.

+- Registre : Aucune suggestion.


- Fin du rapport -

jorginho67 · Answer

mouais.... faut arreter un peu les sites chelous...

Relance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" ->> Copier" pour copier tout le contenu du rapport
Comment fixer les lignes et générer un rapport <---- voir ici



@+

maoudi · Answer

Je colle le rapport ?

jorginho67 · Answer

stp oui, que je puisse vérifier...

maoudi · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:28, on 26/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\pelage\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\ColorUtility\ColorUtility.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: 717305 helper - {963916CD-6311-485D-93DC-3BD1B9E2D2CB} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll
O2 - BHO: Video decompressor - {F38636ED-E66E-4A37-822E-0C01F64D6605} - C:\WINDOWS\pandsf.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Program Files\NetProject\wamdl.dll (file missing)
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [WinSpywareProtect (ver. 5.1)] "C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Convertisseur Euro.lnk = ?
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/fr_FR/DjVuControl_fr_FR.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe
O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg

jorginho67 · Answer

Ok !
Tu as deux antivirus......  c'est pas bon... ça crée un conflit entre eux et les rends innéficaces.....
supprime AVAST 
Pour  suppimer Avast correctement 

Relance HijackThis, choisis "do a scan only"  
coche la case devant les lignes ci-dessous ( qui sont inutiles au lancement du pc ) et clic en bas sur "fix checked".

O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: 717305 helper - {963916CD-6311-485D-93DC-3BD1B9E2D2CB} - (no file) 
O2 - BHO: Video decompressor - {F38636ED-E66E-4A37-822E-0C01F64D6605} - C:\WINDOWS\pandsf.dll (file missing) 
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) 
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Program Files\NetProject\wamdl.dll (file missing) 
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe 
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing) 

tuto en images
==================================================
Télécharge BTFix 1.017 (de bibi26)

* Décompresse l'archive sur ton Bureau (Clique-Droit/Extraire tout).
* Ouvre le dossier BTFix
* Double clique sur BTFix.exe
* Clique sur Rechercher
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse !

http://www.commentcamarche.net/forum/affich 6131564 virus security toolbar 7 1#9

@+

maoudi · Answer

voici le rapport 

BTFix 1.098 (par bibi26) - 26/04/2008 23:39:09 - Analyse
Lancé depuis C:\Documents and Settings\pelage\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

 - [Heuristique : Search Settings] C:\WINDOWS\Installer\3c9301.msi
 - C:\WINDOWS\Installer\{90529245-9C54-45B5-BBB3-B180CA04F248}\
 - C:\Program Files\Search Settings\
 - C:\Documents and Settings\pelage\Application Data\Search Settings\

---> Analyse terminée le 26/04/2008 23:39:13

jorginho67 · Answer

on continue ......

Double clique sur BTFix.exe.
Clique sur Nettoyer.

Un rapport va apparaître, copie/colle-le dans ta prochaine réponse avec un nouveau rapport Hijackthis.



@+

maoudi · Answer

Ok, voici le rapport de BTFix

BTFix 1.098 (par bibi26) - 27/04/2008 09:02:04 - Analyse
Lancé depuis C:\Documents and Settings\pelage\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés


---> Analyse terminée le 27/04/2008 09:02:05
 

et voici Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:03:48, on 27/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\ColorUtility\ColorUtility.dll
O2 - BHO: 717305 helper - {963916CD-6311-485D-93DC-3BD1B9E2D2CB} - (no file)
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [WinSpywareProtect (ver. 5.1)] "C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Convertisseur Euro.lnk = ?
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/fr_FR/DjVuControl_fr_FR.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - (no file)
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe
O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg

jorginho67 · Answer

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous, ( en gras )

C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe

et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.
tutoriel en cas de doute

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
EN CAS DE DOUTE REGARDE ce TUTO

Un rapport sera enregistré dans C:\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.
Poste le moi stp !
  ==========================================
Relance HijackThis, choisis "do a scan only"  
coche la case devant les lignes ci-dessous ( qui sont inutiles au lancement du pc ) et clic en bas sur "fix checked".

O4 - HKCU\..\Run: [WinSpywareProtect (ver. 5.1)] "C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun  <== si encore présente 

tuto en images
===============================================
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe 

C'est un service de FranceTelecom, bien inutile, qui malheureusement est à l'origine de plantage sur certaines machines ... (aucun probleme à l'enlever, tout fonctionnera parfaitement). Il collecte des infos sur ton PC.
Ce service n est pas infectueux mais il peut entrainer des dysfonctionnements sur le systeme! Par ailleurs, il est installé sans le consentement de l utilisateur avec une update de wanadoo!

Et pour exclure se service inutile FTRTSVC, il suffit de faire ainsi:

Clic sur « Démarrer » => « Exécuter » ; ensuite, dans la lucarne de saisie, coller ce qui est en gras :(recommencer pour chacune des trois commandes suivantes) :
# 1- sc stop FTRTSVC > valider par OK
# 2- sc config FTRTSVC start= disabled > valider par OK
# 3- sc delete FTRTSVC > valider par OK 
==========================================================
Fais de même pour :

# 1- sc stopWinSpywareProtect > valider par OK
# 2- sc config WinSpywareProtect start= disabled > valider par OK
# 3- sc delete WinSpywareProtect > valider par OK 
===========================================================

Je souhaiterais :

1) le rapport C:\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)

2) un nouvel HJT 

@+

maoudi · Answer

voici le rapport de OTMoveIt2

04272008_102411.log

File/Folder C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04272008_102411


Voici le rapport de HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:31:14, on 27/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\pelage\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\ColorUtility\ColorUtility.dll
O2 - BHO: 717305 helper - {963916CD-6311-485D-93DC-3BD1B9E2D2CB} - (no file)
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Convertisseur Euro.lnk = ?
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/fr_FR/DjVuControl_fr_FR.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - (no file)
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe
O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg

maoudi · Answer

La barre à disparut et je ne reçoit plus de méssage, je ne sait s'il reste des traces mais je te remercie beaucoup pour ton aide.

jorginho67 · Answer

* Redémarre en mode sans échec

comment demarrer en mode sans echec en images

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur Entrée
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

Suit ce chemin, C:\ > Documents and Settings > pelage > Application Data > Adsl Software Limited > WinSpywareProtect > WinSpywareProtect.exe  et supprime  le dossier  WinSpywareProtect


Pourquoi supprimer un fichier en mode sans échec?

Pour beaucoup de fichiers et en particulier les fichiers malwares, il est impossible de les supprimer car ils sont en exécution, si on fait l'essais, pour la plupart on obtiens un message d'erreur nous indiquant que le fichier est actuellement utilisé par quelqu'un ou par une aplication.
En démarrant en mode sans échec, seul les fichiers nécéssaire sont chargés, la suppression de ces  fichiers malveillants est alors  possible du fait de leurs inactivité. 

redémarre en mode normal, et reposte moi un nouvel HJT .

@+

maoudi · Answer

OK, voivi les résultats

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:32, on 27/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\ColorUtility\ColorUtility.dll
O2 - BHO: 717305 helper - {963916CD-6311-485D-93DC-3BD1B9E2D2CB} - (no file)
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Convertisseur Euro.lnk = ?
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/fr_FR/DjVuControl_fr_FR.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - (no file)
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe
O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg

jorginho67 · Answer

Relance HijackThis, choisis "do a scan only"  
coche la case devant les lignes ci-dessous ( qui sont inutiles au lancement du pc ) et clic en bas sur "fix checked".

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) 
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) 
O4 - Startup: Convertisseur Euro.lnk = ? 
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) 
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU) 

tuto en images

Ferme HJT!

Pour un nettoyage minutieux :

Je te conseille de copie/coler ce texte et de l'enregister sur ton bureau !

  noirci le texte a l'aide de ta souris, puis clic droit > copier!
  fais un clic droit sur ton bureau et selectionnes > nouveau > doccument texte 
  colles le texte dans le blocnotes !
  laisse le sur le bureau .

Important: tu n'auras pas accès à Internet à partir du moment ou te redémarrera en mode sans échec
  Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
  Si un élément te paraît obscur, demande des explications avant de commencer la désinfection
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

CCleaner va faire le nettoyage des fichiers temporaires et inutiles. Ce ménage peut parfois être conséquent.
AVG Anti-Spyware  va faire un nettoyage des fichiers infectieux.


1)  # Télécharge et installe Ccleaner Slim dans un dossier spécifique, par exemple C:\ccleaner
            tutoriel en images

Lance le programme. 

Décoche pendant l'installation les cases :
*  Ajouter l'option ... "
*  Contrôler les mises à jour
*  Ajouter la Barre d'Outils Yahoo! CCleaner

Clique sur Options > Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Ne touche pas aux autres réglages.

2 )  # Télécharge la version d'essai de AVG Anti-Spyware 
             tutoriel en images
Note :Tu pourras garder AVG AS.
C'est une version d'évaluation mais à la fin de la période d'évaluation, seuls le bouclier temps réel et les mises à jour automatiques sont désactivées.
Tu pourras quand même lancer un scan de temps en temps (après avoir fait la mise à jour manuellement) pour t'assurer que ton PC n'est pas infecté.  

Installe AVG as.
Lance AVG Anti-Spyware et dans le paragraphe Mise à jour manuelle, clique sur le bouton Commencer la mise à jour..  Patiente
Attendre la fin de cette mise à jour puis fermer le programme.
Ne lance pas le scan maintenant. Ferme le programme.


 # Redémarre en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
démarrer en Mode sans Echec

3)  Lance le nettoyage avec CCleaner.
Ferme ce programme dès qu'il a terminer le nettoyage.

4)  # Analyse AVG Anti-Spyware 7.5

Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir ?, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. 
Ensuite, Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


5)  # Rapports

Redémarre le PC en mode normal puis poste en réponse :
* Le rapport d AVG antispyware 7.5 situé ici C:\Programfiles\Grisoft\AVGAntispyware

@+

maoudi · Answer

voici le rapport:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	23:22:49 27/04/2008

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{92916AF4-2857-4B23-8793-6FEBD0566924}\RP138\A0099588.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{92916AF4-2857-4B23-8793-6FEBD0566924}\RP138\A0099589.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{92916AF4-2857-4B23-8793-6FEBD0566924}\RP138\A0099590.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{92916AF4-2857-4B23-8793-6FEBD0566924}\RP137\A0099564.dll -> Adware.SpyNoMore : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{92916AF4-2857-4B23-8793-6FEBD0566924}\RP144\A0105684.dll -> Adware.SpyNoMore : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{92916AF4-2857-4B23-8793-6FEBD0566924}\RP144\A0104676.exe -> Not-A-Virus.PUP.IeDefender.ax : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{92916AF4-2857-4B23-8793-6FEBD0566924}\RP131\A0096395.exe -> Trojan.Inject.qu : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{92916AF4-2857-4B23-8793-6FEBD0566924}\RP131\A0096398.exe -> Trojan.Obfuscated.en : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

jorginho67 · Answer

Bien....

Reposte moi un dernier Hijackthis stp

maoudi · Answer

voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:29, on 28/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\pelage\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\ColorUtility\ColorUtility.dll
O2 - BHO: 717305 helper - {963916CD-6311-485D-93DC-3BD1B9E2D2CB} - (no file)
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/fr_FR/DjVuControl_fr_FR.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - (no file)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe
O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg

jorginho67 · Answer

Bien !

Pour fignoler un peu on passe un coup de SDFIX 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
comment demarrer en mode sans echec en images

Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Déroule la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum


@+

maoudi · Answer

voici le rapport:

[b]SDFix: Version 1.176 [/b]
Run by pelage on 29/04/2008 at 17:44

Microsoft Windows XP [version 5.1.2600]
vvoici le rapport

Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\717305\717305.dll  - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 17:52:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\3#?#USBSDOR#Disk&Ven_GENERIC&Prod_USB_DISK_DEVICE&Rev_1.00#6&3ae3e426&0&USB_MASS_STORAGE_CLASS_&0#{53f56307-b6bf-11d0-94v2-00a0c91efb8b}\#]
"SymbolicLink"="\?\USBSTOR#Disk&Ven_GENERIC&Prod_USB_DISK_DEVICE&Rev_1.00#6&3ae3e426&0&USB_MASS_STORAGE_CLASS_&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\##?#USBSTOR#Disk&Ven_GENERIC&Prod_USB_DISK_DEVICE&Rev_1.00#6&8489993&0&Generic_USB_Disk_Device&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\#]
"\4"=hex(ffffffd0):5c,00,5c,00,3f,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,00,52,..

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 15


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\eMule\eMule.exe"="C:\Program Files\eMule\eMule.exe:*:Disabled:eMule Plus"
"C:\ruby\bin\ruby.exe"="C:\ruby\bin\ruby.exe:*:Disabled:Ruby interpreter"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 31 Dec 2007             9 A..H. --- "C:\WINDOWS\system32\wxmmin.dll"
Thu  4 Dec 1997     5,969,408 ...H. --- "C:\Corel\Graphics8\Programs\CNSFlt80.dll"
Wed  3 Dec 1997       431,104 ...H. --- "C:\Corel\Graphics8\Programs\convintl.dll"
Wed  5 Nov 1997        77,312 ...H. --- "C:\Corel\Graphics8\Programs\Mos1680.dll"
Thu  6 Nov 1997         4,608 ...H. --- "C:\Corel\Graphics8\Programs\Mos3280.dll"
Sun 29 Apr 2007         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 29 Apr 2007           401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv16.bak"
Sun 23 Mar 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Sat 13 Oct 2007       257,343 A..H. --- "C:\Documents and Settings\pelage\Mes documents\Mes images\Smiley-msn.com-ree100-1"
Sat 13 Oct 2007       185,488 A..H. --- "C:\Documents and Settings\pelage\Mes documents\Mes images\Smiley-msn.com-F40101"
Sat 13 Oct 2007        29,096 A..H. --- "C:\Documents and Settings\pelage\Mes documents\Mes images\Smiley-msn.com-hentaimanga1"
Mon  5 May 2003       348,160 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\AACMP4.EXE"
Thu  7 Feb 2002        94,208 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\lpaccodec.dll"
Fri  2 Feb 2001        40,960 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\lpac_codec_api.dll"
Wed 16 Apr 2003       200,704 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\OFR.EXE"
Fri 17 Jan 2003       278,528 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\PNCRT.dll"
Mon  5 May 2003        16,384 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\RMADEC.EXE"
Fri 11 Apr 2003        73,766 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\atrc3260.dll"
Fri 11 Apr 2003        45,099 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\auth3260.dll"
Fri 11 Apr 2003        65,575 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\cook3260.dll"
Fri 11 Apr 2003       102,437 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\drv13260.dll"
Fri 11 Apr 2003       176,165 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\drv23260.dll"
Fri 11 Apr 2003       208,935 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\drv33260.dll"
Fri 11 Apr 2003       217,127 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\drv43260.dll"
Wed 16 Apr 2003       976,896 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\pnen3260.dll"
Fri 11 Apr 2003       348,203 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\pnvi3260.dll"
Fri 11 Apr 2003        53,289 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\pnxr3260.dll"
Fri 11 Apr 2003        45,101 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonamf3260.dll"
Fri 11 Apr 2003       135,213 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonare3260.dll"
Mon 14 Oct 2002        57,344 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonims3290.dll"
Fri 11 Apr 2003       163,885 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonmff3260.dll"
Mon 14 Oct 2002       737,280 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonmse3290.dll"
Mon 14 Oct 2002       245,760 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonmwr3260.dll"
Fri 11 Apr 2003       245,805 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonnlt3260.dll"
Mon 14 Oct 2002       245,760 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonorw3290.dll"
Mon 14 Oct 2002       114,688 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commontae3290.dll"
Mon 14 Oct 2002        65,536 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commontin3290.dll"
Mon 14 Oct 2002       163,840 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commontve3290.dll"
Fri 11 Apr 2003        45,093 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonv103260.dll"
Fri 11 Apr 2003        98,341 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonv203260.dll"
Fri 11 Apr 2003        94,247 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonv303260.dll"
Fri 11 Apr 2003        90,151 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonv403260.dll"
Fri 11 Apr 2003       159,785 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Commonvre3260.dll"
Mon 14 Oct 2002       102,400 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\sipr3260.dll"
Fri 11 Apr 2003        61,485 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\smpl3260.dll"
Fri 11 Apr 2003       106,541 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\vsrl3260.dll"
Fri 11 Apr 2003        86,061 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\xmlp3261.dll"
Fri 11 Apr 2003       159,787 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\zipf3260.dll"
Sun 23 Feb 2003        64,512 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\MusePack\MPPDEC.EXE"
Sat 26 Oct 2002        79,360 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\MusePack\MPPENC.EXE"
Mon  4 Mar 2002       352,299 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\PsyTEL\AACENC.EXE"
Mon  5 May 2003       348,160 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\PsyTEL\AACMP4.EXE"
Mon  4 Mar 2002       221,184 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\PsyTEL\FASTENC.EXE"
Thu  6 Sep 2001       688,128 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\PsyTEL\IA32MATH.DLL"
Fri 14 Feb 2003       910,152 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Shorten\CYGWIN1.DLL"
Sun 20 Apr 2003        60,928 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Shorten\SHORTEN.EXE"
Sun 23 Mar 2003       120,832 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Speex\SPEEXDEC.EXE"
Sun 23 Mar 2003       122,880 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Speex\SPEEXENC.EXE"
Tue 18 Feb 2003       103,936 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\WavPack\WAVPACK.EXE"
Tue 18 Feb 2003       102,912 ...H. --- "C:\Program Files\Fichiers communs\Ahead\AudioPlugins\WavPack\WVUNPACK.EXE"

[b]Finished![/b]

jorginho67 · Answer

Re !

Ca devrait etre bon ...

Relance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" ->> Copier" pour copier tout le contenu du rapport
Comment fixer les lignes et générer un rapport <---- voir ici

maoudi · Answer

voici le rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:13:51, on 30/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\pelage\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\ColorUtility\ColorUtility.dll
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/fr_FR/DjVuControl_fr_FR.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - (no file)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe
O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg

jorginho67 · Answer

Re !

Est ce que c'est toi qui a mis ceci dans le Windows Active Desktop ?
Clique sur les liens et dis moi si ça te dis quelque chose, auquel cas, on vire çà...

O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg 
================================================

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous, ( en gras )

C:\WINDOWS\system32\srksrv.exe 

et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.
tutoriel en cas de doute

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
EN CAS DE DOUTE REGARDE ce TUTO

Un rapport sera enregistré dans C:\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.
Poste le moi stp !
  

@+

maoudi · Answer

voila: 

C:\WINDOWS\system32\srksrv.exe moved successfully.
File/Folder  not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04302008_155717

jorginho67 · Answer

J'aimerais bien avoir des réponses s'il te plait ...

Est ce que c'est toi qui a mis ceci dans le Windows Active Desktop ?
Clique sur les liens et dis moi si ça te dis quelque chose, auquel cas, on vire çà...

O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg

maoudi · Answer

Je ne croit pas, c'est utile ?

jorginho67 · Answer

Relance HijackThis, choisis "do a scan only"  
coche la case devant les lignes ci-dessous ( qui sont inutiles au lancement du pc ) et clic en bas sur "fix checked".

O24 - Desktop Component 0: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/noel/noel-retro-lilas.jpg
O24 - Desktop Component 1: (no name) - http://www.nuhunter.com/pictures/232-karla-spice.jpg
O24 - Desktop Component 2: (no name) - https://www.fond-ecran-image.com/hotlink.php?photo=/galerie-membre/montage-photo/beaute.jpg
O24 - Desktop Component 3: (no name) - https://www.realitykings.com/scenes?site=2
O24 - Desktop Component 4: (no name) - http://www.freegalleriespost.com/4/22-00969695/1/12.jpg 

tuto en images

Ferme HJT !

Adobe n'est pas à jour ! Grosse faille de sécurité !!!

voir ici pourquoi

Il faut faire la mise à jour version 8.1.2 https://get2.adobe.com/reader/otherversions/
L'installation d'une nouvelle version désinstallera l'ancienne si besoin est.
( http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.1/fra/AdbeRdr810_fr_FR.exe > lien direct)
- Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.
===================================================
Ta version IE n'est pas à jour  Grosse faille de sécurité !!!
Internet Explorer v6.00 SP2 (6.00.2900.2180)
On en est a la 07

la Mise à Jour <---  ICI

Pourquoi faire la MàJ ?

Quand tu auras fais ces MàJ, reposte un dernier Hijackthis, et on procedera au nettoyage des outils téléchargés qui ne te servirons plus puisque en cas de besoin, il faut les télécharger au dernier moment pour etre sur d'avoir la bonne version !

@+

maoudi · Answer

Je ne peut pas instalé IE 07 parce mon père n'a plus la clé (c'est son pc, j'avè mis le virus deçu, mé g aussi le mien)

voici le rapport: 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:32:47, on 30/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\pelage\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\ColorUtility\ColorUtility.dll
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: LinkManager - {45FF1688-D992-459f-BAE8-F4385147FE5B} - C:\Program Files\2VG\Link Manager\LinkManager.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/fr_FR/DjVuControl_fr_FR.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - (no file)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit Trial\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe (file missing)

jorginho67 · Answer

Je ne peut pas instalé IE 07 parce mon père n'a plus la clé   Pas besoin de clé...

Adobe reader non plus....

Pour nettoyer les outils téléchargés pendant cette désinfection qui ne te serviront plus,( HJT etc...)  vu qu'ils sont mis a jour régulierement, il vaut mieux les télécharger en cas de besoin au dernier moment .......:

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

Double-clique sur ToolsCleaner2.exe et 
Clique sur Recherche et laisse le scan se terminer.
Clique, sur Suppression pour finaliser.
# Ton Bureau va disparaître. Ceci est normal.
# S'il ne réapparait pas, fais ceci : CTRL+ALT+SUP pour faire apparaître le gestionnaire de tâches.
Rends-toi à l'onglet Processus, clique en haut à gauche sur "Fichiers" et choisis "Exécuter". 
Tape "explorer" et valide. Cela te fera ré-apparaître ton Bureau.

Tu peux, et dois te servir des Options facultatives.
- Point de Restauration.
- Corbeille. ------------------------------------------------> a faire !
- Nettoyage des fichiers Temporaires.------------------------> a faire !
Clique sur quitter, pour que le rapport puisse se créer.

Ferme le rapport qui s'ouvre, et poste le dans ta prochaine réponse.
  Il se trouve a la racine du disque C:\TCleaner.txt

maoudi · Answer

je c'est mais ca me dit que ce n'est pas une versoin authentique, mais pourtant c'est une vrai mais comme mon père reformatait souvent il à perdu la clé du système de window. 


Voici le rapport

-->- Recherche: 

C:\SDFIX: trouvé !
C:\Vundofix backups: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\pelage\Bureau\Nouveau dossier\SdFix.exe: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\pelage\Bureau\Nouveau dossier\SdFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\SDFIX: supprimé !
C:\Vundofix backups: supprimé !
C:\_OtMoveIt: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

jorginho67 · Answer

mais ca me dit que ce n'est pas une versoin authentique,  si on te dit ça, c'est que c'est vrai.....

C'est le soucis avec ces versions, tu ne peux faire les MàJ, ce qui est une grosse faille de sécurité .

Plus de soucis avec la Sécurity Toolbar ???

maoudi · Answer

non, je n'ai plus de problème avec la barre et les messages

maoudi · Answer

escuse moi, mais tu c'est pourqoi au démarrage il ya un truc qui dit: vérification du système de fichier sur :D. Type du système du fichier NTFS ?

jorginho67 · Answer

vérification du système de fichier sur :D. Type du système du fichier NTFS ? vu que tu etais infecté, le pc re analyse tes disques.... Tu pourras utiliser ToolsCleaner de temps en temps pour nettoyer la corbeille, etc...etc ...! *. Maintenant que ton ordinateur est propre je te conseille de créer un point de restauration sain, comme ça en cas de probleme (plantage ..ect) tu pourras toujours revenir en arriere Désactive ta "Restauration du système" puis réactive la. (1) Désactivation Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs" Appliquer . patiente jusqu a que cela soit marqué "désactivée" puis Ok. (2) Activation Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs" Appliquer. attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur ! ------------------------------------------------------------------------------------------------------------ *.Rétablir l'affichage des dossiers: Démarrer, Poste de travail ou autre dossier, Menu Outils, Options des dossiers, onglet Affichage : Activer l'option : Ne pas afficher les fichiers et dossiers cachés Activer l'option : Masquer les fichiers protégés du système d'exploitation Laisser désactivé : Masquer les extensions des fichiers dont le type est connu ------------------------------------------------------------------------------------------------------------ ==================== * Prends le temps de lire ceci ! * =================== La meilleur protection reste une connaissance minimale des infections et leurs méthodes de propagation. Securiser son ordinateur et connaître les menaces Comment je me fais infecter ( merci Malekal ) Conseils de base pour surfer avec un max de sécurité *. Utiliser le navigateur Mozzilla plus sur que IE7 POURQUOI ? Lire Attentivement ceci Tutoriel pour le sécuriser *. Vérifie les mises a jours des différents softs régulièrement ici https://www.flexera.com/products/operations/software-vulnerability-management.html Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ Pour java il faut désinstaller les anciennes versions (de java) via panneau de config / ajouts et suppression de programme *. Ne pas telecharger n'importe quoi, eviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games ...ect *. Toujours analyser les fichiers telechargés depuis un peer to peer (emule ,Shareaza, kazza ... ect) avant de les executer Un peu de lecture à ce sujet *. Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir *. Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus *. MSN PREVENTION ---------------------------------------------------------------------------------------------------------------- *. Passe regulierement un antispywares, un seul, pas la peine d'en avoir plusieurs... Pense a les mettre a jour avant de les lancer c'est tres important *. Malwarebytes' Anti-malware << ici Comment m'utiliser *. AVG Anti-Spyware 7.5.1 tuto de mise en oeuvre *. A squared Comment m'utiliser *. Spybot S&D 1.5.. Comment m'utiliser ----------------------------------------------------------------------------------------------------------------- *. Supprime regulierement les fichiers inutiles (fichiers temporaires , cookies .. ect) a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/ *. CCleaner 2.04.543 > http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner *. Nettoie ta base de registre avec regcleaner https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/ *. RegCleaner 4.3.0.780 >http://www.commentcamarche.net/telecharger/telecharger 171 regcleaner ------------------------------------------------------------------------------------------------------------------ Il est possible de temps en temps de supprimer le contenu du dossier c/windows/prefetch pour accelerer le demarrage de windows , mais seulement le contenu non le dossier... VIDE le !!! - Clique sur l'icône Poste de travail - Sélectionne le disque c:\ - Positionne toi dans le dossier c:\Windows\Prefetch - Sélectionne le Menu Edition, Sélectionner tout - Appuie sur le touche Suppr du clavier afin de vider ce dossier ------------------------------------------------------------------------------------------------------------------- Le dossier Temporary Internet Files contient les pages Web enregistrées sur votre disque dur pour une visualisation rapide. Ce dossier permet à Internet Explorer ou à MSN Explorer de télécharger uniquement le contenu qui a changé depuis votre dernière consultation de page Web, au lieu de télécharger tout le contenu d'une page à chaque affichage. Pour supprimer les fichiers contenus dans le dossier Temporary Internet Files, suit ces étapes : - Ferme Internet Explorer et toutes les instances de l'Explorateur Windows. - Clique sur Démarrer, sur Panneau de configuration, puis double-clique sur Options Internet. - Sous l'onglet Général, clique sur Supprimer les fichiers dans la zone Fichiers Internet temporaires. - Active la case à cocher Supprimer tout le contenu hors connexion dans la zone Supprimer les fichiers, puis clique sur OK. - Clique sur OK. ------------------------------------------------------------------------------------------------------------------- *. Pense a défragmenter ton Disque Dur au moins une fois par mois ! faire ? -------------------------------------------------------------------------------------------------------------------- Encore un peu de lecture : sécuriser son pc et connaitre les menaces Tiens moi au courant !

maoudi · Answer

Merci pour tout je te remercie beaucoup.

Mais, est-ce tu peut m'aider j'ai un voisin qui a peut près le même problème, je sais pas quoi faire je t'envoi le rapport de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:15:15, on 03/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\setrysvc.exe
C:\WINDOWS\System32\semwltry.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Atheros\ACU.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\semwltray.exe
C:\Program Files\DTV\RemoteControl.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\DS Clock\dsclock.exe
C:\Program Files\Option\GlobeTrotter Connect\GlobeTrotter Connect.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Option\GlobeTrotter Connect\GtDetectSc.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\alg.exe
C:\DOCUME~1\SOPROT~2\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
G:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://internetsearchservice.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.getbackpage.com/?cm=518287&lt=1&it=2008-04-24%2020%3A24%3A39&dt=2008-05-02%2015%3A20%3A42&q=http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://internetsearchservice.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://internetsearchservice.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [BroadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Wallpachange] "C:\PROGRA~1\WALLPA~1\REGLAGES.exe" /DEM
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Sony Ericsson Wireless Manager UI] C:\WINDOWS\system32\semwltray
O4 - HKLM\..\Run: [DTVRemote] "C:\Program Files\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [GCXX-Manager-Class] "C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe" -startup
O4 - HKLM\..\Run: [ORAWATCH] C:\PROGRA~1\Orange\Watch.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DS Clock] C:\Program Files\DS Clock\dsclock.exe
O4 - HKCU\..\Run: [More Ford] C:\DOCUME~1\SOPROT~2\APPLIC~1\BIKEFI~1\webthunkrect.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-854245398-2139871995-725345543-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-854245398-2139871995-725345543-1005 Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe (User '?')
O4 - S-1-5-21-854245398-2139871995-725345543-1005 Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User '?')
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: GlobeTrotter Connect.lnk = C:\Program Files\Option\GlobeTrotter Connect\GlobeTrotter Connect.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D731523-508B-48C6-9B2B-F7A2E4237738}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{449A1496-D03F-46CC-BE5C-F1676AAA2923}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{47FFA363-8CFC-4269-BBD3-17205408E0EE}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{7265B604-26FB-4B5B-818A-D55560B96FF8}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{B937FA59-841D-4141-9CA2-85136CBA3694}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{D48194C2-173B-427F-BA56-1C294E09C444}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.64
O22 - SharedTaskScheduler: frowardness - {b0fdc513-46b9-46fc-8e70-d575ee546dae} - C:\WINDOWS\system32\zfaiqwr.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: GtDetectSc - OptionNV - C:\Program Files\Option\GlobeTrotter Connect\GtDetectSc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sony Ericsson Wireless LAN Tray Service (setrysvc) - Unknown owner - C:\WINDOWS\System32\setrysvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe
O24 - Desktop Component 0: (no name) - http://chevalierdesaintgeorges.homestead.com/images/FRafriclassicalbanner1.jpg

maoudi · Answer

voivi l'autre rapport

SmitFraudFix v2.319

Rapport fait à 10:49:57,62, 03/05/2008
Executé à partir de C:\Documents and Settings\Soprotec2000sarl\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Soprotec2000sarl


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Soprotec2000sarl\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» 


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\VirusHeat 4.3\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://chevalierdesaintgeorges.homestead.com/images/FRafriclassicalbanner1.jpg"
"SubscribedURL"="http://chevalierdesaintgeorges.homestead.com/images/FRafriclassicalbanner1.jpg"
"FriendlyName"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: konsal.dll
BHO: Video - {414B0283-2228-4F26-8BB3-C2211FA99223}
CLSID: {414B0283-2228-4F26-8BB3-C2211FA99223}
AppID: {414B0283-2228-4F26-8BB3-C2211FA99223}
AppID: konsal.dll
Classes: MS.VideoStream
TypeLib: {99E591B6-A5AD-4A2D-B349-334020760EF2}
Interface: {29BF1B1F-0106-4881-A7C7-A71035C54825}


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: 527631.dll
BHO: 527631 Class - {54160F28-994B-48DD-8D83-1B2F6B9EB054}
BHO CLSID TypeLib: {E63648F7-3933-440E-AAAA-A8584DD7B7EB}
Corrected TypeLib: {E63648F7-3933-440E-B4F6-A8584DD7B7EB}
Interface: {F7D09218-46D7-4D3D-9B7F-315204CD0836}
+--------------------------------------------------+
[!] Suspicious: 717305.dll
BHO: 717305 Class - {963916CD-6311-485D-93DC-3BD1B9E2D2CB}
BHO CLSID TypeLib: {E63648F7-3933-440E-AAAA-A8584DD7B7EB}
Corrected TypeLib: {E63648F7-3933-440E-B4F6-A8584DD7B7EB}
Interface: {F7D09218-46D7-4D3D-9B7F-315204CD0836}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b0fdc513-46b9-46fc-8e70-d575ee546dae}"="frowardness"

[HKEY_CLASSES_ROOT\CLSID\{b0fdc513-46b9-46fc-8e70-d575ee546dae}\InProcServer32]
@="C:\WINDOWS\system32\zfaiqwr.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b0fdc513-46b9-46fc-8e70-d575ee546dae}\InProcServer32]
@="C:\WINDOWS\system32\zfaiqwr.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"="kdmls.exe"

"System"="kdmls.exe".exe détecté !


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

maoudi · Answer

Ok j'ai réussi a retirer mais pourrai tu me dire les fichiers inutiles a fixé stp.

jorginho67 · Answer

Désolè pour le retard...

Option 2

Redémarre en mode sans échec :
Pour cela,  tapotes la touche F8 (Si F8 ne marche pas utilise la touche F5).

 dès le début de l’allumage du pc sans t’arrêter.
 Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
 Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !

comment demarrer en mode sans echec en images

-------------------------------------------------------------------------------
 Double clique sur smitfraudfix.cmd 
 Cette fois choisit l’option 2 !!
 répond oui (o) à tout 

Une fois le nettoyage terminé, SmitFraudfix ouvre le rapport de nettoyage sur le bloc-note.
Redémarre l'ordinateur en mode normal (comme d'habitude),
Sur le  bureau doit se trouver le rapport enregistré (sinon il est sur le Poste de Travail / Disque C / rapport.txt)
Refais un log Hitjackthis et poste les  rapports s'il te plait !


@+

maoudi · Answer

c pas grave voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:36, on 03/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\setrysvc.exe
C:\WINDOWS\System32\semwltry.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Option\GlobeTrotter Connect\GtDetectSc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Atheros\ACU.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\semwltray.exe
C:\Program Files\DTV\RemoteControl.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\DS Clock\dsclock.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\SOPROT~2\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Option\GlobeTrotter Connect\GlobeTrotter Connect.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Messenger\msmsgs.exe
G:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Sony Ericsson Wireless Manager UI] C:\WINDOWS\system32\semwltray
O4 - HKLM\..\Run: [DTVRemote] "C:\Program Files\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DS Clock] C:\Program Files\DS Clock\dsclock.exe
O4 - HKCU\..\Run: [More Ford] C:\DOCUME~1\SOPROT~2\APPLIC~1\BIKEFI~1\webthunkrect.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-854245398-2139871995-725345543-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" (User '?')
O4 - HKUS\S-1-5-21-854245398-2139871995-725345543-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-854245398-2139871995-725345543-1005\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-854245398-2139871995-725345543-1005 Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe (User '?')
O4 - S-1-5-21-854245398-2139871995-725345543-1005 Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User '?')
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: GlobeTrotter Connect.lnk = C:\Program Files\Option\GlobeTrotter Connect\GlobeTrotter Connect.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D731523-508B-48C6-9B2B-F7A2E4237738}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{449A1496-D03F-46CC-BE5C-F1676AAA2923}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{47FFA363-8CFC-4269-BBD3-17205408E0EE}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{7265B604-26FB-4B5B-818A-D55560B96FF8}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{B937FA59-841D-4141-9CA2-85136CBA3694}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\..\{D48194C2-173B-427F-BA56-1C294E09C444}: NameServer = 85.255.114.108,85.255.112.64
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.64
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: GtDetectSc - OptionNV - C:\Program Files\Option\GlobeTrotter Connect\GtDetectSc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sony Ericsson Wireless LAN Tray Service (setrysvc) - Unknown owner - C:\WINDOWS\System32\setrysvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe

maoudi · Answer

c'est un ordi vista, il a GlobeTrotter Connect, la connection est rapide mais internet et assez lent je c pa si c'est un virus

maoudi · Answer

Escuse moi c'est pas un pc vista...  Enfin oui, mais il a mis xp avec un thème vista

jorginho67 · Answer

Re !

Désolé, je ne pouvait pas poster...

Tu as fais ceci ???

http://www.commentcamarche.net/forum/affich 6131564 virus security toolbar 7 1?page=3#45

POSTE MOI LE RAPPORT qui est sur le Poste de Travail / Disque C / rapport.txt

Ensuite :

Je te conseille d'enregistrer la procédure qui suit en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

  FixWareout de LonnyRJones

1) Télécharge FixWareout de LonnyRJones sur le bureau:

2) Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
  Le fix va commencer, suis les messages à l'écran.
  Il te sera demandé de redémarrer ton ordinateur, fais le.
  Ton système mettra un peu plus de temps au démarrage, c'est normal.
  Sauvegarde sur ton Bureau le contenu du rapport qui va s'afficher à l'écran (report.txt) afin de le retrouver facilement plus tard. 

3) Relance HijackThis
 Coche toutes les lignes de type : 
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D731523-508B-48C6-9B2B-F7A2E4237738}: NameServer = 85.255.114.108,85.255.112.64 
 Clique sur Fix Checked

ferme Hijackthis .

Relance  le  en double cliquant sur son raccourci sur le Bureau.
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" ->> Copier" pour copier tout le contenu du rapport
Comment fixer les lignes et générer un rapport <---- voir ici

@+

Virus security toolbar 7.1

49 réponses

Votre réponse

Discussions similaires

Newsletters