Pc lent et mauvaise fenetre IE

Question

Bonjour,
Lorsque je lance une recherche sur internet, le bon lien fonctionne au bout de la 3 eme fois. Et une fois que je suis sur la bonne page je suis envahie de fenetre publicitaire ou de message me signalant qu'il faut que j'installe un antivirus!! Le PC est super lent, au point des fois de totalement bugger avec ce message d'erreur de Microsoft Visual C++ runtime Library: "Buffer overrun detected!". Je suis nulle en informatique alors si quelqu'un peut m'aider....
Merci d'avance,

Laura

VIRUS_KILLER · Answer

Salut Laura!
Telecharge et installe Navilog : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Ensuite double clique sur le logiciel > Choisie la langue de ton choix (par exemple : F pour Francais) > Appuye sur Entrée > Laisse toi guider > Tu accede ensuite au menu principal > Appuye sur 1(Recherche) > Attend que l'analyse soit terminer > Le rapport s'affiche > Copie/Colle le rapport sur le Forum.

VIRUS_KILLER · Answer

Bon tu a une infection de type vundo qui est un virus corriace.
Bon telecharge et installe Vundofix : http://ftpclubic47.clubic.com/...
Ensuite clique sur "Scan for Vundo" et dit moi ce qu'il en est.
a+

laura · Answer

je sais pas si t'as vu ma réponse mais je comprend pas de quoi tu me parle, Pubs Cids? c'est koi?

laura · Answer

ok merci

dou-l · Answer

a la demande de virus_killer je te vient en aide



Fais un scan avec cet antimalware :

Telecharge malwarebytes

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

laura · Answer

Ca y est voila le rapport,
Merci

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 722

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 71786
Temps écoulé: 18 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINNT\system32\opnkkhGA.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINNT\system32\uagehbou.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fa238b81-a331-45a5-a685-30728141a689} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fa238b81-a331-45a5-a685-30728141a689} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\00594f30 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM036a7cac (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINNT\system32\opnkkhGA.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINNT\system32\AGhkknpo.ini (Trojan.Vundo) -> Delete on reboot.
C:\WINNT\system32\AGhkknpo.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\rubgtjxv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\vxjtgbur.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\uagehbou.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINNT\system32\uobhegau.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\05UVOHQR\moorate[1] (Trojan.AVKiller) -> Quarantined and deleted successfully.
C:\WINNT\system32\lrkgrttu.dll (Trojan.AVKiller) -> Quarantined and deleted successfully.
C:\WINNT\system32\bpuoicqu.dll (Trojan.Agent) -> Delete on reboot.

laura · Answer

vous etes toujours là pour m'aider?
Svp.. merci

VIRUS_KILLER · Answer

Bon c'est clean!

dou-l · Answer

t'as redemarer le pc ?

laura · Answer

Maintenant, j'ai une fenetre internet explorer qui apparait plusieurs fois a la suite, qui me demande d'installer le logiciel Libresysteme ou qqch comme ca..Je suppose que c'est un virus? comment faire?
Merci

laura · Answer

J'ai redémarrer l'ordi mais toujours pareil: lent. En fait, il est lent quand je vais sur certains site, style Yahoo, j'arrive a m'identifier mais après impossible d'ouvrir la page, idem pour hotmail, etc..

dou-l · Answer

ok




Télécharge sur le bureau hijackthis


Fait un clic droit sur l'icone hijackthis.


/!\Renome hijackthis en skim.exe ( a le place de hijacktihs.exe) c'est important!!/!\

*Après avoir fais ca double-clic dessus.

*Clic sur Do a system scan and save the log

*A la fin de l'analyse un rapport va etre générer colle le ici.

Une démo d'hijackthis

laura · Answer

Par contre si je fais "do a system scan only" ca marche, mais comment je fais pour l'enregistrer?

dou-l · Answer

essaye avec save the log

laura · Answer

C'est bon j'ai cliqué sur save the log, et j'ai retrouvé un rapport, en éspérant que ce soit le bon (a priori oui) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:57, on 17/05/2008
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\avast\aswUpdSv.exe
D:\avast\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32egsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
D:\avast\ashMaiSv.exe
D:\avast\ashWebSv.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINNT\System32\UMonit2k.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\WINNT\loadqm.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
D:\avast\ashDisp.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINNT\System32\Rundll32.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\System32\UMonit2k.exe
O4 - HKLM\..\Run: [gCac] C:\WINNT\gcac.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINNT\TEMP\E_S121.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Gestionnaire de liaison sans fil] "C:\Program Files\Inventel\Gateway\wlancfg.exe"
O4 - HKLM\..\Run: [BM036a7cac] Rundll32.exe "C:\WINNT\System32\bpuoicqu.dll",s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\winnt\system32
wprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} - http://sallevirtuelle.cotesdarmor.fr/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0404E036-8413-4A69-8DE8-ED7CA2FA9929}: NameServer = 85.255.113.140,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF3621D-2956-4727-AA1C-8DE29FC810FD}: NameServer = 85.255.113.140,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{A829D10B-407A-4027-AC4C-4E280B184E9B}: NameServer = 85.255.113.140,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.140 85.255.112.93
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.140 85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.140 85.255.112.93
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\avast\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe

dou-l · Answer

#  Télécharger FixWareout sur le bureau : http://downloads.subratam.org/Fixwareout.exe
# Lancer le fix : cliquer sur Next, puis Install, s’assurer que l’option Run fixit est activée puis cliquer sur Finish.
# Il sera demandé ensuite de redémarrer l’ordinateur : redémarrer le.
# Si le système met un peu plus de temps au démarrage, c'est normal.
# Reposte un rapport hijackthis.

laura · Answer

Désolé de répondre aussi tard, mais mes 2 PC bugg!!! au secours!!
J'essaie pour la enième fois de te les envoyer: 
Le premier c'est le rapport du Fix
Le second c'est le nouveau rapport hijackthis

Merci

Username "Administrateur" - 17/05/2008 19:54:25 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.113.140 85.255.112.93" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{0404E036-8413-4A69-8DE8-ED7CA2FA9929} 
"nameserver"="85.255.113.140,85.255.112.93" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{2DF3621D-2956-4727-AA1C-8DE29FC810FD} 
"nameserver"="85.255.113.140,85.255.112.93" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{A829D10B-407A-4027-AC4C-4E280B184E9B} 
"nameserver"="85.255.113.140,85.255.112.93" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{0404E036-8413-4A69-8DE8-ED7CA2FA9929}
"DhcpNameServer"="85.255.113.140,85.255.112.93" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{2DF3621D-2956-4727-AA1C-8DE29FC810FD}
"DhcpNameServer"="85.255.113.140,85.255.112.93" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{A829D10B-407A-4027-AC4C-4E280B184E9B}
"DhcpNameServer"="85.255.113.140,85.255.112.93" <Value cleared.

Cache de r‚solution DNS vid‚.
System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"NeroCheck"="C:\WINNT\System32\\NeroCheck.exe"
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe"
"WinampAgent"="\"C:\Program Files\Winamp\Winampa.exe\""
"Gene USB Monitor"="C:\WINNT\System32\UMonit2k.exe"
"gCac"="C:\WINNT\gcac.exe"
"CnxDslTaskBar"="\"C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe\" \"ZTE Corporation\ZXDSL852\""
"LoadQM"="loadqm.exe"
"QuickTime Task"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"EPSON Stylus DX4000 Series"="C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU \"C:\WINNT\TEMP\E_S121.tmp\" /EF \"HKLM\""
"avast!"="D:\avast\ashDisp.exe"
"Gestionnaire de liaison sans fil"="\"C:\Program Files\Inventel\Gateway\wlancfg.exe\""
"BM036a7cac"="Rundll32.exe \"C:\WINNT\System32\bpuoicqu.dll\",s"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe"
"Skype"="\"C:\Program Files\Skype\Phone\Skype.exe\" /nosplash /minimized"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:32, on 17/05/2008
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\avast\aswUpdSv.exe
D:\avast\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32egsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
D:\avast\ashMaiSv.exe
D:\avast\ashWebSv.exe
C:\WINNT\system32
otepad.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINNT\System32\UMonit2k.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\WINNT\loadqm.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
D:\avast\ashDisp.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINNT\System32\Rundll32.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\System32\UMonit2k.exe
O4 - HKLM\..\Run: [gCac] C:\WINNT\gcac.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINNT\TEMP\E_S121.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Gestionnaire de liaison sans fil] "C:\Program Files\Inventel\Gateway\wlancfg.exe"
O4 - HKLM\..\Run: [BM036a7cac] Rundll32.exe "C:\WINNT\System32\bpuoicqu.dll",s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\winnt\system32
wprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} - http://sallevirtuelle.cotesdarmor.fr/ecwplugins/ncs.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\avast\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe

dou-l · Answer

Ok décrit tes soucis maintenant stp

laura · Answer

Mon PC a du mal a charger les pages que je lui demande, parfois quand je suis sur un site, j'ai des fenetre qui s'ouvrent (style pub casino, ou pub pour un antivirus qui faut que j'installe..) du coup il devient très lent. J'ai ces problemes depuis que j'avais un virus appelé Virusheat je crois, j'avais réussi a l'enlever mais apparement j'ai autre chose..
Si vous pouvez m'aider, ce serait sympa car mes 2 pc bugg complètement...

En écrivant ce message j'ai 6 fenetre qui se sont ouverte: webmedia player, sponsors, party poker, logitech et une fenetre windows script Host...et j'en passe, ca ne s'arrete plus

Merci de vos réponses

dou-l · Answer

ok moin grave que je le pensais !!


télécharge smitfraudfix: smitfraudfix

# Double clique sur l'icone de smitfraud pui choisis l'option 1 et poste le rapport.






Télécharge Navilog

-Choisis Enregistrer et enregistre-le sur ton bureau.


- Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

-Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message " Analyse Termine le ....."

-Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie/colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


-Si ton antivirus detecte un virus ou un cheval de troie durant l'analyse ignore le.



Tient moi au courant a+.

dou-l · Answer

arf il reste encore du vundo on verra apres !! Pour le moment :


Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SmitfraudFix
Double clic sur Smitfraud.cm choisis l'option 2 et Entrée
Réponds O aux deux questions suivantes:
-Voulez-vous nettoyer le registre ?
-Corriger le fichier infecté ?
Un rapport.txt sera généré et tu le postes pour contrôle.

laura · Answer

Désolé j'ai du m'absenter..
J'ai lancer le smitfraudfix, j'ai eu la premiere question auquelle j'ai répondu oui, mais après j'ai eu un message "impossible d'importer cleanup.reg : erreur d'accès ou registre". Et la recherche s'est arretée. J'ai quand meme eu un rapport, le voilà:

SmitFraudFix v2.320

Rapport fait à 15:03:12,34, lun. 19/05/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1  localhost 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINNT\system32\ctfmona.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{37870A25-1D15-4051-A093-A259F4F695AD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{37870A25-1D15-4051-A093-A259F4F695AD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{37870A25-1D15-4051-A093-A259F4F695AD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

dou-l · Answer

# Téléchargez VundoFix.exe http://www.atribune.org/ccount/click.php?id=4

    * Double-cliquez sur VundoFix.exe
    * Cliquez sur le bouton Scan for Vundo
    * Si le programme vous demande de supprimer des fichiers, faites oui
    * Lorsque le programme a fini de scanner votre ordinateur, ce dernier doit être éteint, redémarrez le.

dou-l · Answer

Non c'est bon !

On va essayer autrement !



ATTENTION: Desactive ton antivirus et autres protection durant le scan et ne touche pas a l'ordinateur !!N'oublie pas de les réactiver a la fin du scan

Télécharge Combofix: 

Sauvegarde le sur ton bureau et pas ailleurs...

Aide à l’utilisation de combofix ici 

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

laura · Answer

Apparement mes messages passent pas, je le renvoie encore (désolé si vous les recevez 2 fois):
ComboFix 08-05-15.3 - Administrateur 19/05/2008 17:37:01.1 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.2.1252.1.1036.18.278 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\cookies.ini
C:\WINNT\pskt.ini
C:\WINNT\system32\AGhkknpo.ini
C:\WINNT\system32\AGhkknpo.ini2
C:\WINNT\system32\aooqxlxd.dll
C:\WINNT\system32\bpuoicqu.dll
C:\WINNT\system32\bswdgtem.dll
C:\WINNT\system32\gysvfbcy.dll
C:\WINNT\system32\hvcmbbxe.dll
C:\WINNT\system32\hwacsdui.dll
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\mvfmctub.exe
C:\WINNT\system32\nmxigmbs.dll
C:\WINNT\system32\nskisojl.ini
C:\WINNT\system32\opnkkhGA.dll
C:\WINNT\system32\pyingpgg.dll
C:\WINNT\system32\sresgfgn.dll
C:\WINNT\system32\tqkokgbj.exe
C:\WINNT\system32\vtUopMGy.dll
C:\WINNT\system32\wvsphcic.dll
C:\WINNT\system32\ycbfvsyg.ini
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
.

2008-05-19 17:42 . 08-05-19 17:42 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_280.dat
2008-05-19 15:03 . 07-09-06 00:22 289,144 --a------ C:\WINNT\system32\VCCLSID.exe
2008-05-19 15:03 . 06-04-27 17:49 288,417 --a------ C:\WINNT\system32\SrchSTS.exe
2008-05-19 15:03 . 08-04-24 08:10 86,528 --a------ C:\WINNT\system32\VACFix.exe
2008-05-19 15:03 . 08-04-28 08:03 82,944 --a------ C:\WINNT\system32\IEDFix.exe
2008-05-19 15:03 . 08-04-28 08:03 82,944 --a------ C:\WINNT\system32\404Fix.exe
2008-05-19 15:03 . 03-06-05 21:13 53,248 --a------ C:\WINNT\system32\Process.exe
2008-05-19 15:03 . 04-07-31 18:50 51,200 --a------ C:\WINNT\system32\dumphive.exe
2008-05-19 15:03 . 07-10-04 00:36 25,600 --a------ C:\WINNT\system32\WS2Fix.exe
2008-05-19 14:16 . 08-05-19 14:33 269,334 --a------ C:\WINNT\system32\ctfmonb.bmp
2008-05-19 14:16 . 08-05-19 14:33 160,256 --a------ C:\WINNT\system32\blackster.scr
2008-05-17 19:54 . 08-05-17 19:59 <DIR> d----c--- C:\fixwareout
2008-05-17 16:47 . 08-05-17 16:47 <DIR> d----c--- C:\VundoFix Backups
2008-05-17 16:40 . 07-09-15 01:24 17,920 --a------ C:\WINNT\system32\reg.exe
2008-05-17 16:39 . 08-05-19 14:28 <DIR> d-------- C:\Program Files\Navilog1
2008-05-17 16:18 . 08-05-17 16:18 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-15 12:12 . 08-05-15 12:12 <DIR> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-05-15 12:03 . 08-05-19 15:03 3,014 --a------ C:\WINNT\system32\tmp.reg
2008-05-15 11:55 . 08-05-15 11:55 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-15 11:55 . 08-05-15 11:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-15 11:55 . 08-05-05 20:46 27,048 --a------ C:\WINNT\system32\drivers\mbamcatchme.sys
2008-05-15 11:55 . 08-05-05 20:46 15,864 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-05-15 11:10 . 08-05-15 11:11 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-15 10:13 . 08-05-15 10:13 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-05-07 09:15 . 06-05-29 18:04 217,088 -ra------ C:\WINNT\system32\drivers\sis163u.sys
2008-05-07 09:15 . 06-03-15 19:24 45,056 -ra------ C:\WINNT\system32\unwlsdrv.exe
2008-05-06 20:16 . 08-05-19 17:22 109,864 --a------ C:\WINNT\BM036a7cac.xml

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-15 09:10 --------- d-----w C:\Program Files\Lavasoft
2008-05-15 09:08 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-15 09:06 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-05-07 07:12 17,134 ----a-w C:\WINNT\system32\PCANDIS5.SYS
2006-02-17 15:49 13,272 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2003-12-30 18:53 271 ---h--w C:\Program Files\desktop.ini
2003-12-30 18:53 22,115 ---h--w C:\Program Files\folder.htt
1999-12-15 05:59 32,528 -c--a-w C:\WINNT\inf\wbfirdma.sys
2005-07-16 14:56 56 -csh--r C:\WINNT\system32\[u]0[/u]CED5F151C.sys
2005-07-16 14:56 1,682 -csha-w C:\WINNT\system32\KGyGaAvL.sys
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-15 06:30 20752 C:\WINNT\system32\internat.exe]
"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [ ]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [99-12-15 06:30 111888 C:\WINNT\system32\mobsync.exe]
"NeroCheck"="C:\WINNT\System32\\NeroCheck.exe" [01-07-09 12:50 155648]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [ ]
"WinampAgent"="C:\Program Files\Winamp\Winampa.exe" [01-03-03 04:26 7680]
"Gene USB Monitor"="C:\WINNT\System32\UMonit2k.exe" [03-04-16 15:05 45056]
"gCac"="C:\WINNT\gcac.exe" [ ]
"CnxDslTaskBar"="C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" [05-05-20 19:32 278528]
"LoadQM"="loadqm.exe" [00-05-03 18:23 7536 C:\WINNT\loadqm.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [07-02-16 10:54 282624]
"avast!"="D:\avast\ashDisp.exe" [07-09-06 12:06 79224]
"Gestionnaire de liaison sans fil"="C:\Program Files\Inventel\Gateway\wlancfg.exe" [08-05-07 09:13 1466368]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-15 06:30 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [99-12-15 06:30 190224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"VIDC.PIM1"= PCLEPIM1.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

R2 aswMon;avast! Standard Shield Support;C:\WINNT\System32\drivers\aswMon.sys [07-09-06 12:05 ]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINNT\System32\DRIVERS\sis163u.sys [06-05-29 18:04 ]
S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINNT\TEMP\24.tmp []
S3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;C:\WINNT\System32\DRIVERS\CnxEtP.sys [05-05-20 19:27 ]
S3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;C:\WINNT\System32\DRIVERS\CnxEtU.sys [05-05-20 19:27 ]
S3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;C:\WINNT\System32\DRIVERS\CnxTgNW.sys [05-05-20 19:28 ]
S3 pctvvbi;PCTVVBI;C:\WINNT\System32\DRIVERS\pctvvbi.sys [02-11-11 20:52 ]
S3 USTOR2K;Genesys USB Mass Storage Windows Driver;C:\WINNT\System32\DRIVERS\ustor2k.sys [03-04-01 10:40 ]
S3 viafilter;VIA USB Filter;C:\WINNT\System32\Drivers\viausb.sys [03-06-18 17:48 ]
S3 Vsp;Vsp;C:\WINNT\System32\drivers\Vsp.sys [03-05-27 17:45 ]

*Newly Created Service* - IPNAT
*Newly Created Service* - SHAREDACCESS
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 17:43:23
Windows 5.0.2195 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
"ImagePath"="\??\C:\WINNT\TEMP\24.tmp"
.
------------------------ Other Running Processes ------------------------
.
SystemRoot\System32\smss.exe [148]
??\C:\WINNT\system32\csrss.exe [184]
??\C:\WINNT\system32\winlogon.exe [216]
C:\WINNT\system32\services.exe [244]
C:\WINNT\system32\lsass.exe [256]
C:\WINNT\system32\svchost.exe [476]
C:\WINNT\system32\spoolsv.exe [532]
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe [560]
D:\avast\aswUpdSv.exe [620]
D:\avast\ashServ.exe [640]
C:\WINNT\System32\svchost.exe [660]
C:\WINNT\system32\regsvc.exe [704]
C:\WINNT\system32\stisvc.exe [712]
C:\WINNT\System32\Tablet.exe [724]
C:\WINNT\System32\WBEM\WinMgmt.exe [800]
C:\WINNT\System32\mspmspsv.exe [868]
C:\WINNT\System32\WTablet\TabUserW.exe [1144]
D:\avast\ashMaiSv.exe [1164]
D:\avast\ashWebSv.exe [1232]
C:\WINNT\system32\CF12551.exe [1404]
C:\Program Files\Winamp\Winampa.exe [1612]
C:\WINNT\System32\UMonit2k.exe [1632]
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe [1664]
C:\WINNT\loadqm.exe [1672]
C:\Program Files\QuickTime\qttask.exe [1644]
D:\avast\ashDisp.exe [1580]
C:\Program Files\Inventel\Gateway\wlancfg.exe [1492]
C:\WINNT\System32\internat.exe [1704]
C:\WINNT\explorer.exe [1556]
C:\ComboFix\catchme.cfexe [1652]
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-19 17:47:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-19 15:47:12

Pre-Run: 1,649,045,504 octets libres
Post-Run: 1,675,546,624 octets libres

171

dou-l · Answer

Ok un nouveau rapport hijackthis .

laura · Answer

re

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:56, on 19/05/2008
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\avast\aswUpdSv.exe
D:\avast\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32egsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\System32\WTablet\TabUserW.exe
D:\avast\ashMaiSv.exe
D:\avast\ashWebSv.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINNT\System32\UMonit2k.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\WINNT\loadqm.exe
C:\Program Files\QuickTime\qttask.exe
D:\avast\ashDisp.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINNT\System32\internat.exe
C:\WINNT\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\System32\UMonit2k.exe
O4 - HKLM\..\Run: [gCac] C:\WINNT\gcac.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Gestionnaire de liaison sans fil] "C:\Program Files\Inventel\Gateway\wlancfg.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\winnt\system32
wprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} - http://sallevirtuelle.cotesdarmor.fr/ecwplugins/ncs.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\avast\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe

dou-l · Answer

Ok encore de soucis ?

laura · Answer

re

dou-l · Answer

Je prefere que tu le fasse avec moi on sais jamais ce qu'il peut ce passer !

#  Télécharger FixWareout sur le bureau :  http://downloads.subratam.org/Fixwareout.exe
# Lancer le fix : cliquer sur Next, puis Install, s’assurer que l’option Run fixit est activée puis cliquer sur Finish.
# Il sera demandé ensuite de redémarrer l’ordinateur : redémarrer le.
# Si le système met un peu plus de temps au démarrage, c'est normal.
# Puis reposte un rapport hijackthis .

laura · Answer

re

dou-l · Answer

ok la manip navilog option 1 stp !!

laura · Answer

Search Navipromo version 3.5.7 commencé le 19/05/2008 à 19:04:17,38

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "FREDERIC" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

MessengerSkinner

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***

C:\Program Files\MessengerSkinner trouvé !

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\FREDERIC\applic~1" *** 

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\FREDERIC\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\FREDERIC\menudm~1\progra~1" *** 

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\utbwhlohk.dat
C:\WINDOWS\system32\utbwhlohk.exe
C:\WINDOWS\system32\utbwhlohk_nav.dat
C:\WINDOWS\system32\utbwhlohk_navps.dat


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

Fichiers trouvés :

aejtwexq.exe trouvé ! 
jxgcsr.exe trouvé ! 
orqanbtea.exe trouvé ! 
owghflooo.exe trouvé ! 
tjcdnavck.exe trouvé ! 
qqnhxjaer.exe trouvé ! 
vfjwbdjqv.exe trouvé ! 

* Recherche dans "C:\Documents and Settings\FREDERIC\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

avphbxt.exe trouvé !
cszmkbx.exe trouvé !
dsnuwwyail.exe trouvé !
ejkxev.exe trouvé !
fsvicyrxna.exe trouvé !
hgdmzs.exe trouvé !
iavogk.exe trouvé !
imvvfuk.exe trouvé !
jucqfl.exe trouvé !
khplrdun.exe trouvé !
ldkxoax.exe trouvé !
mfldfso.exe trouvé !
ofhayycihw.exe trouvé !
oxacdhnpvo.exe trouvé !
ponmwrv_nav.dat trouvé !
ponmwrv_navps.dat trouvé !
qzesnf.dat trouvé !
qzesnf_nav.dat trouvé !
qzesnf_navps.dat trouvé !
qzesnf_navup.dat trouvé !
sdbysjz.exe trouvé !
tihdtauuda.exe trouvé !
unqpblj.exe trouvé !
utbwhlohk.dat trouvé !
utbwhlohk_nav.dat trouvé !
utbwhlohk_navps.dat trouvé !
vctbxbpuk.exe trouvé !
vmytxrkblz.exe trouvé !
vxjuyowna.exe trouvé !
xkzpiqj.exe trouvé !

* Dans "C:\Documents and Settings\FREDERIC\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 19/05/2008 à 19:08:22,49 ***

laura · Answer

re

dou-l · Answer

Ok maintenant passe à l'option 2 stp

laura · Answer

re

dou-l · Answer

ok un nouveau hijackthis stp

VIRUS_KILLER · Answer

C'est clean!

dou-l · Answer

C'est facile de dire sa apres la bataille ;)

laura · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:04:26, on 19/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Disk Defragmenter] C:\WINDOWS\System32\zyucdq.exe
O4 - HKLM\..\Run: [Scan Registers] ssmss.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernelwind32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PlayerKiosquePlus] C:\Program Files\Lecteur CANALPLAY\PlayerKiosquePlus.exe /iconic
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S86.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\RunServices: [Scan Registers] ssmss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Scan Registers] ssmss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Scan Registers] ssmss.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\System32\viruxz.dll (file missing)
O21 - SSODL: gimmicks - {40dcff6e-af8d-4183-8ebe-a82270ac449e} - C:\WINDOWS\System32\dcvwaah.dll (file missing)
O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)
O22 - SharedTaskScheduler: gimmicks - {40dcff6e-af8d-4183-8ebe-a82270ac449e} - C:\WINDOWS\System32\dcvwaah.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Windows Update Service (wuamgrd) - Unknown owner - C:\WINDOWS\System32\wuamgrd.exe (file missing)

laura · Answer

ca l'air d'aller un peu mieux, mais j'ai toujours quelques souci de lenteur. Par exemple pour vous envoyer ce dernier rapport, le portable ne voulait pas (il met 3-4mn pour me dire qu'il ne peut pas afficher la page). Du coup c'est de l'autre PC (qui fonctionne très bien maintenant OUF!!) que je l'ai envoyé. J'ai le meme probleme si je veux supprimer des messages dans ma boite mail...

dou-l · Answer

Ton windows n'est pas a jour depuis des lustres !!!!!

Télécharge le sp2 de windows: https://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/29989.html


puis recolle un hiajckthis !!

je revien demain apres-midi a+

dou-l · Answer

ok a demain !!

laura · Answer

Désolé de répondre si tard, mais tout est Ok, Merci pour tout

dou-l · Answer

le hijack ??

Pc lent et mauvaise fenetre IE

45 réponses

Votre réponse

Newsletters