Antimalware2009, aide après RSIT.exe
angel of paradox
Messages postés
8
Statut
Membre
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonsoir à tous.
Après avoir été infecté par "AntiMalware2009", un faux programme, j'ai suivis les étapes du forum concernant RSIT.exe. (à cette page : http://www.commentcamarche.net/forum/affich 8725019 antivirus )
Considéré comme la première étape qui va me permettre de me débarrasser de cette peste qui tue mon PC.
Donc voici le log.txt :
Logfile of random's system information tool 1.04 (written by random/random)
Run by Tanguy at 2008-10-25 00:30:48
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 53 GB (70%) free of 76 GB
Total RAM: 1023 MB (64% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:30:54, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\rhcnq9j0eta5\rhcnq9j0eta5.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\lphcjq9j0eta5.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\pphcjq9j0eta5.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tanguy\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\Tanguy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [SMrhcnq9j0eta5] C:\Program Files\rhcnq9j0eta5\rhcnq9j0eta5.exe
O4 - HKLM\..\Run: [lphcjq9j0eta5] C:\WINDOWS\system32\lphcjq9j0eta5.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [lphcjq9j0eta5] C:\WINDOWS\system32\lphcjq9j0eta5.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpzrcv01.LNK = C:\Program Files\HP\Temp\{D64BC2CF-0F12-47d7-B412-B4F3FD684253}\setup\hpzstub.exe
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
Après avoir été infecté par "AntiMalware2009", un faux programme, j'ai suivis les étapes du forum concernant RSIT.exe. (à cette page : http://www.commentcamarche.net/forum/affich 8725019 antivirus )
Considéré comme la première étape qui va me permettre de me débarrasser de cette peste qui tue mon PC.
Donc voici le log.txt :
Logfile of random's system information tool 1.04 (written by random/random)
Run by Tanguy at 2008-10-25 00:30:48
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 53 GB (70%) free of 76 GB
Total RAM: 1023 MB (64% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:30:54, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\rhcnq9j0eta5\rhcnq9j0eta5.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\lphcjq9j0eta5.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\pphcjq9j0eta5.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tanguy\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\Tanguy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [SMrhcnq9j0eta5] C:\Program Files\rhcnq9j0eta5\rhcnq9j0eta5.exe
O4 - HKLM\..\Run: [lphcjq9j0eta5] C:\WINDOWS\system32\lphcjq9j0eta5.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [lphcjq9j0eta5] C:\WINDOWS\system32\lphcjq9j0eta5.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpzrcv01.LNK = C:\Program Files\HP\Temp\{D64BC2CF-0F12-47d7-B412-B4F3FD684253}\setup\hpzstub.exe
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
12 réponses
1) Poste moi un nouveau rapport RSIT, STP.
2) As-tu déjà eu des pubs "régiedepub" venant de l'adresse ads.regiedepub.com ?
Cela vient du logiciel Eorezo qui est installé sur ton PC.
Ce logiciel n'est pas infectieux mais si ces pubs t' embêtent, désinstalle-le via Ajout/Supp de programmes.
3) Il faudrait vérifier avec MalwareBytes.
Mais comme tu as beaucoup de fichiers volumineux ( plus de 2000 ), prends ton temps et laisse tourner ton PC le temps du scan.
Mets à jour Malwarebytes et lance un examen complet
Poste moi le rapport une fois terminé.
A+
2) As-tu déjà eu des pubs "régiedepub" venant de l'adresse ads.regiedepub.com ?
Cela vient du logiciel Eorezo qui est installé sur ton PC.
Ce logiciel n'est pas infectieux mais si ces pubs t' embêtent, désinstalle-le via Ajout/Supp de programmes.
3) Il faudrait vérifier avec MalwareBytes.
Mais comme tu as beaucoup de fichiers volumineux ( plus de 2000 ), prends ton temps et laisse tourner ton PC le temps du scan.
Mets à jour Malwarebytes et lance un examen complet
Poste moi le rapport une fois terminé.
A+
1) Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
:Processes
explorer.exe
:Services
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"EoEngine"=-
:Files
C:\Program Files\EoRezo
C:\Documents and Settings\Tanguy\Application Data\EoRezo
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.
2) Pour MalwareBytes, c'est OK.Je ne suis pas là ce soir mais je le regarderais en revenant.
A+
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
:Processes
explorer.exe
:Services
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"EoEngine"=-
:Files
C:\Program Files\EoRezo
C:\Documents and Settings\Tanguy\Application Data\EoRezo
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.
2) Pour MalwareBytes, c'est OK.Je ne suis pas là ce soir mais je le regarderais en revenant.
A+
1) Une dernière vérification :
Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.
A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.
2) poste un dernier rapport Hijackthis.
A+
Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.
A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.
2) poste un dernier rapport Hijackthis.
A+
Tu vas utiliser SDFix téléchargeable à :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/
Il faut que tu redémarres en mode sans échec.
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.
T
on ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.
Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.
Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
Avec un nouveau rapportRSIT!
A+
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/
Il faut que tu redémarres en mode sans échec.
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.
T
on ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.
Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.
Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
Avec un nouveau rapportRSIT!
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
désolé du double poste, modérateurs au travail admirable, mais je ne peux contenir ma joie.
De 8h 30 jusqu'à 1h15 du mat, j'ai testé un nombre impressionnant de logiciel.
Et ça a enfin marché.
Je suis sur mon bureau : Plus de messages d'alertes, de bruit de cochon, j'ai pû remettre mon fond d'écran, plus de liens vers la license spéciale, etc...
Je n'ai qu'une chose à vous dire :
Merci à vous tous qui m'avez aidé, et de votre patience admirable.
Merci du fond du coeur. ^^
Au cas ou, voici le rapport SDfix :
[b]SDFix: Version 1.237 [/b]
Run by Tanguy on 25/10/2008 at 01:03
Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Tanguy\Mes documents\T‚l‚chargements\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper
Restoring Default ScreenSaver value
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\lphcjq9j0eta5.exe - Deleted
C:\WINDOWS\system32\pphcjq9j0eta5.exe - Deleted
C:\Program Files\rhcnq9j0eta5\database.dat - Deleted
C:\Program Files\rhcnq9j0eta5\MFC71.dll - Deleted
C:\Program Files\rhcnq9j0eta5\MFC71ENU.DLL - Deleted
C:\Program Files\rhcnq9j0eta5\msvcp71.dll - Deleted
C:\Program Files\rhcnq9j0eta5\msvcr71.dll - Deleted
C:\Program Files\rhcnq9j0eta5\rhcnq9j0eta5.exe - Deleted
C:\Program Files\rhcnq9j0eta5\rhcnq9j0eta5.exe.local - Deleted
C:\Program Files\rhcnq9j0eta5\uninstall.exe - Deleted
C:\WINDOWS\system32\phcjq9j0eta5.bmp - Deleted
C:\WINDOWS\system32\blphcjq9j0eta5.scr - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt1.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt3.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt5.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt7.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.ttA.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt1.tmp.vbs - Deleted
C:\Documents and Settings\Tanguy\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiMalware2009.lnk - Deleted
Folder C:\Program Files\rhcnq9j0eta5 - Removed
Folder C:\Documents and Settings\Tanguy\Application Data\rhcnq9j0eta5 - Removed
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-25 01:10:25
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"="C:\\Program Files\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\\setup\\HPZnui01.exe"="D:\\setup\\HPZnui01.exe:*:Enabled:hpznui01.exe"
"E:\\setup\\HPZNUI01.EXE"="E:\\setup\\HPZNUI01.EXE:*:Enabled:hpznui01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX58.219\\Nexuiz\\nexuiz-sdl.exe"="C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX58.219\\Nexuiz\\nexuiz-sdl.exe:*:Enabled:Nexuiz"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.0"
"C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX00.812\\Nexuiz\\nexuiz-dedicated.exe"="C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX00.812\\Nexuiz\\nexuiz-dedicated.exe:*:Enabled:Nexuiz"
"C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX08.234\\Nexuiz\\nexuiz.exe"="C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX08.234\\Nexuiz\\nexuiz.exe:*:Enabled:Nexuiz"
"C:\\Documents and Settings\\Tanguy\\Bureau\\JEUX ; AUTRES\\Nexuiz\\nexuiz.exe"="C:\\Documents and Settings\\Tanguy\\Bureau\\JEUX ; AUTRES\\Nexuiz\\nexuiz.exe:*:Enabled:Nexuiz"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.0"
[b]Remaining Files [/b]:
File Backups: - C:\DOCUME~1\Tanguy\MESDOC~1\TLCHAR~1\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Mon 5 Feb 2001 34,331 ...H. --- "C:\swsetup\Monitors\f1723\INSTALL.EXE"
Fri 25 Jun 2004 12,431,945 A..H. --- "C:\Program Files\Bodom-Child - RaBBi\RGSS\Standard\Graphics.exe"
[b]Finished![/b]
et encore merci. ^^
Bonne soirée, et bonne nuit.
De 8h 30 jusqu'à 1h15 du mat, j'ai testé un nombre impressionnant de logiciel.
Et ça a enfin marché.
Je suis sur mon bureau : Plus de messages d'alertes, de bruit de cochon, j'ai pû remettre mon fond d'écran, plus de liens vers la license spéciale, etc...
Je n'ai qu'une chose à vous dire :
Merci à vous tous qui m'avez aidé, et de votre patience admirable.
Merci du fond du coeur. ^^
Au cas ou, voici le rapport SDfix :
[b]SDFix: Version 1.237 [/b]
Run by Tanguy on 25/10/2008 at 01:03
Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Tanguy\Mes documents\T‚l‚chargements\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper
Restoring Default ScreenSaver value
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\lphcjq9j0eta5.exe - Deleted
C:\WINDOWS\system32\pphcjq9j0eta5.exe - Deleted
C:\Program Files\rhcnq9j0eta5\database.dat - Deleted
C:\Program Files\rhcnq9j0eta5\MFC71.dll - Deleted
C:\Program Files\rhcnq9j0eta5\MFC71ENU.DLL - Deleted
C:\Program Files\rhcnq9j0eta5\msvcp71.dll - Deleted
C:\Program Files\rhcnq9j0eta5\msvcr71.dll - Deleted
C:\Program Files\rhcnq9j0eta5\rhcnq9j0eta5.exe - Deleted
C:\Program Files\rhcnq9j0eta5\rhcnq9j0eta5.exe.local - Deleted
C:\Program Files\rhcnq9j0eta5\uninstall.exe - Deleted
C:\WINDOWS\system32\phcjq9j0eta5.bmp - Deleted
C:\WINDOWS\system32\blphcjq9j0eta5.scr - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt1.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt3.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt5.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt7.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.ttA.tmp - Deleted
C:\DOCUME~1\Tanguy\LOCALS~1\Temp\.tt1.tmp.vbs - Deleted
C:\Documents and Settings\Tanguy\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiMalware2009.lnk - Deleted
Folder C:\Program Files\rhcnq9j0eta5 - Removed
Folder C:\Documents and Settings\Tanguy\Application Data\rhcnq9j0eta5 - Removed
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-25 01:10:25
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"="C:\\Program Files\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\\setup\\HPZnui01.exe"="D:\\setup\\HPZnui01.exe:*:Enabled:hpznui01.exe"
"E:\\setup\\HPZNUI01.EXE"="E:\\setup\\HPZNUI01.EXE:*:Enabled:hpznui01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX58.219\\Nexuiz\\nexuiz-sdl.exe"="C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX58.219\\Nexuiz\\nexuiz-sdl.exe:*:Enabled:Nexuiz"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.0"
"C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX00.812\\Nexuiz\\nexuiz-dedicated.exe"="C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX00.812\\Nexuiz\\nexuiz-dedicated.exe:*:Enabled:Nexuiz"
"C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX08.234\\Nexuiz\\nexuiz.exe"="C:\\Documents and Settings\\Tanguy\\Local Settings\\Temp\\Rar$EX08.234\\Nexuiz\\nexuiz.exe:*:Enabled:Nexuiz"
"C:\\Documents and Settings\\Tanguy\\Bureau\\JEUX ; AUTRES\\Nexuiz\\nexuiz.exe"="C:\\Documents and Settings\\Tanguy\\Bureau\\JEUX ; AUTRES\\Nexuiz\\nexuiz.exe:*:Enabled:Nexuiz"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.0"
[b]Remaining Files [/b]:
File Backups: - C:\DOCUME~1\Tanguy\MESDOC~1\TLCHAR~1\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Mon 5 Feb 2001 34,331 ...H. --- "C:\swsetup\Monitors\f1723\INSTALL.EXE"
Fri 25 Jun 2004 12,431,945 A..H. --- "C:\Program Files\Bodom-Child - RaBBi\RGSS\Standard\Graphics.exe"
[b]Finished![/b]
et encore merci. ^^
Bonne soirée, et bonne nuit.
Après la suppression de Antimalware2009, soulagé, j'en ai profité pour faire un peu de ménage et j'ai supprimé Eorezo.
J'ai refait le RSIT, il ne m'affiche qu'un seul rapport à la fin :
Logfile of random's system information tool 1.04 (written by random/random)
Run by Tanguy at 2008-10-25 10:18:11
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 53 GB (70%) free of 76 GB
Total RAM: 1023 MB (66% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:18:18, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tanguy\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\Tanguy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpzrcv01.LNK = C:\Program Files\HP\Temp\{D64BC2CF-0F12-47d7-B412-B4F3FD684253}\setup\hpzstub.exe
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
J'ai refait le RSIT, il ne m'affiche qu'un seul rapport à la fin :
Logfile of random's system information tool 1.04 (written by random/random)
Run by Tanguy at 2008-10-25 10:18:11
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 53 GB (70%) free of 76 GB
Total RAM: 1023 MB (66% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:18:18, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tanguy\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\Tanguy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpzrcv01.LNK = C:\Program Files\HP\Temp\{D64BC2CF-0F12-47d7-B412-B4F3FD684253}\setup\hpzstub.exe
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C'est bon, tout a été fait.
Mon ordi est O.K, et plus aucune trace de Rogue, spyware, et autres fichiers infectés.
1) Malwarebytes a détecté 2 fichiers infectés, dont un qui concernait EoRezo, sous le nom de "Rogue EoRezo".
Je les ais supprimé.
Voici le rapport final :
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1316
Windows 5.1.2600 Service Pack 2
25/10/2008 16:37:47
mbam-log-2008-10-25 (16-37-41).txt
Type de recherche: Examen complet (A:\|C:\|D:\|E:\|H:\|I:\|J:\|K:\|)
Eléments examinés: 100208
Temps écoulé: 2 hour(s), 44 minute(s), 26 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\EoRezo (Rogue.Eorezo) -> No action taken.
J'ai ensuite fait comme tu me l'as demandé avec le logiciel.
Et voici le rapport le concernant après l'opération :
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}\\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
========== FILES ==========
C:\Program Files\EoRezo\EoAdv moved successfully.
C:\Program Files\EoRezo moved successfully.
C:\Documents and Settings\Tanguy\Application Data\EoRezo\eoStats moved successfully.
C:\Documents and Settings\Tanguy\Application Data\EoRezo\eoDesktop moved successfully.
C:\Documents and Settings\Tanguy\Application Data\EoRezo\db moved successfully.
C:\Documents and Settings\Tanguy\Application Data\EoRezo moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Tanguy\LOCALS~1\Temp\etilqs_YGcNVLTgLjV01WMgBFDf scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5bc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10252008_164509
Files moved on Reboot...
File C:\DOCUME~1\Tanguy\LOCALS~1\Temp\etilqs_YGcNVLTgLjV01WMgBFDf not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_5bc.dat not found!
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\XUL.mfl moved successfully.
Merci encore de votre aide. ;-)
Mon ordi est O.K, et plus aucune trace de Rogue, spyware, et autres fichiers infectés.
1) Malwarebytes a détecté 2 fichiers infectés, dont un qui concernait EoRezo, sous le nom de "Rogue EoRezo".
Je les ais supprimé.
Voici le rapport final :
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1316
Windows 5.1.2600 Service Pack 2
25/10/2008 16:37:47
mbam-log-2008-10-25 (16-37-41).txt
Type de recherche: Examen complet (A:\|C:\|D:\|E:\|H:\|I:\|J:\|K:\|)
Eléments examinés: 100208
Temps écoulé: 2 hour(s), 44 minute(s), 26 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\EoRezo (Rogue.Eorezo) -> No action taken.
J'ai ensuite fait comme tu me l'as demandé avec le logiciel.
Et voici le rapport le concernant après l'opération :
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}\\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
========== FILES ==========
C:\Program Files\EoRezo\EoAdv moved successfully.
C:\Program Files\EoRezo moved successfully.
C:\Documents and Settings\Tanguy\Application Data\EoRezo\eoStats moved successfully.
C:\Documents and Settings\Tanguy\Application Data\EoRezo\eoDesktop moved successfully.
C:\Documents and Settings\Tanguy\Application Data\EoRezo\db moved successfully.
C:\Documents and Settings\Tanguy\Application Data\EoRezo moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Tanguy\LOCALS~1\Temp\etilqs_YGcNVLTgLjV01WMgBFDf scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5bc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10252008_164509
Files moved on Reboot...
File C:\DOCUME~1\Tanguy\LOCALS~1\Temp\etilqs_YGcNVLTgLjV01WMgBFDf not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_5bc.dat not found!
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Tanguy\Local Settings\Application Data\Mozilla\Firefox\Profiles\sola3z5x.default\XUL.mfl moved successfully.
Merci encore de votre aide. ;-)
Voici le dernier rapport HiKackThis :
Logfile of random's system information tool 1.04 (written by random/random)
Run by Tanguy at 2008-10-25 19:27:05
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 53 GB (70%) free of 76 GB
Total RAM: 1023 MB (74% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:27:17, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Documents and Settings\Tanguy\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\Tanguy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpzrcv01.LNK = C:\Program Files\HP\Temp\{D64BC2CF-0F12-47d7-B412-B4F3FD684253}\setup\hpzstub.exe
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
Logfile of random's system information tool 1.04 (written by random/random)
Run by Tanguy at 2008-10-25 19:27:05
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 53 GB (70%) free of 76 GB
Total RAM: 1023 MB (74% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:27:17, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Documents and Settings\Tanguy\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\Tanguy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpzrcv01.LNK = C:\Program Files\HP\Temp\{D64BC2CF-0F12-47d7-B412-B4F3FD684253}\setup\hpzstub.exe
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O4 - Global Startup: hpzrcv01.LNK = C:\Program Files\HP\Temp\{D64BC2CF-0F12-47d7-B412-B4F3FD684253}\setup\hpzstub.exe
Tu choisis l'option " Fixchecked" en bas de la page.
2) c'est surprenant pour le scan en ligne.
As-tu ce genre de pages de pubs sinon ?
Essaie celui ci :
Le scan en ligne : BitDefender
Suis le Tuto suivant. Pas de difficultés, si ce n'est que cela peut être assez long.
https://forum.pcastuces.com/default.asp
!il restera à te donner des indications pour le nettoyage.
A+
Tu sélectionnes les lignes suivantes :
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O4 - Global Startup: hpzrcv01.LNK = C:\Program Files\HP\Temp\{D64BC2CF-0F12-47d7-B412-B4F3FD684253}\setup\hpzstub.exe
Tu choisis l'option " Fixchecked" en bas de la page.
2) c'est surprenant pour le scan en ligne.
As-tu ce genre de pages de pubs sinon ?
Essaie celui ci :
Le scan en ligne : BitDefender
Suis le Tuto suivant. Pas de difficultés, si ce n'est que cela peut être assez long.
https://forum.pcastuces.com/default.asp
!il restera à te donner des indications pour le nettoyage.
A+
J'ai fait selon tes indications pour HiJackThis, et j'ai supprimé les fichiers dangereux.
Sinon, pour le scanner-Online, j'ai réessayer avec Kaspersky, et ça marche.
Il m'a juste suffit d'activer une fonction d'internet Explorer pour bloquer les publicités intempestives.
J'ai analysé les zones critiques de mon PC, et apparemment, tout est CLEAN.
Je pense que mon problème est définitivement réglé.
Je te remercie pour tous ce que tu as fait, verni29.
C'était vraiment très sympa. :-)
@+ !
Sinon, pour le scanner-Online, j'ai réessayer avec Kaspersky, et ça marche.
Il m'a juste suffit d'activer une fonction d'internet Explorer pour bloquer les publicités intempestives.
J'ai analysé les zones critiques de mon PC, et apparemment, tout est CLEAN.
Je pense que mon problème est définitivement réglé.
Je te remercie pour tous ce que tu as fait, verni29.
C'était vraiment très sympa. :-)
@+ !
Voici, les consignes. C'est assez long.Prends ton temps et n'hésite pas à me poser des questions.
1) Télécharge OTCleanIT d’Old Timer.
http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe
Enregistre le fichier sur ton bureau.
Double clique sut OTCleanit.exe pour l’exécuter.
Clique sur CleanUp !.
Le logiciel va te demander de commencer l’analyse. Accepte.
Il te sera demandé le redémarrage de ton PC pour finir la suppression des fichiers et supprimer également OTCleanIT. Accepte.
2) Mets à jour Internet explorer. Importante pour des failles de sécurité.
http://www.commentcamarche.net/telecharger/telecharger 220 internet explorer
3) Même chose pour le service pack 3.
il n'apporte rien de plus. C'est une reprise de tous les correctifs depuis le SP2.
Si tu as mis à jour régulièrement ton PC, inutile de le faire.
http://www.commentcamarche.net/telecharger/telecharger 34055430 windows xp sp3
4) Tu vas vérifier pour ta version de Java.
Pour cela, tu vas installer JavaRa qui tu pourras garder ou désinstaller après.
Ce logiciel va aussi nettoyer et enlever toutes les anciennes versions présentes.
Télécharge JavaRa de PaulMcLain et Fred De Vries.
http://raproducts.org/click/click.php?id=1
Click droit sur l’archive JavaRa.zip et extraire sur le bureau.
Un dossier sera crée. L’ouvrir et double-cliquer sur JavaRa.exe pour le lancer
Choisis la langue ( anglais )
Une fenêtre va s’ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.
- Mise à jour :
clique sur Search for Updates et choisis l’option Update Using jucheck.exe. Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
Si oui, clique sur Installer puis suis les invites.
- Suppression des anciennes versions :
Relance JavaRa.exe s’il le faut et choisis Remove Older Versions.
Suis les invites.
Il te sera précisé de la suppression les versions trouvées et supprimées.
Un rapport a été crée. Poste le.
5) Tu vas utiliser CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
utilise les fonctions nettoyeur et registre.
6) Les points de restauration :
- Panneau de configuration --> Système --> Restauration du sytème
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
A+
1) Télécharge OTCleanIT d’Old Timer.
http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe
Enregistre le fichier sur ton bureau.
Double clique sut OTCleanit.exe pour l’exécuter.
Clique sur CleanUp !.
Le logiciel va te demander de commencer l’analyse. Accepte.
Il te sera demandé le redémarrage de ton PC pour finir la suppression des fichiers et supprimer également OTCleanIT. Accepte.
2) Mets à jour Internet explorer. Importante pour des failles de sécurité.
http://www.commentcamarche.net/telecharger/telecharger 220 internet explorer
3) Même chose pour le service pack 3.
il n'apporte rien de plus. C'est une reprise de tous les correctifs depuis le SP2.
Si tu as mis à jour régulièrement ton PC, inutile de le faire.
http://www.commentcamarche.net/telecharger/telecharger 34055430 windows xp sp3
4) Tu vas vérifier pour ta version de Java.
Pour cela, tu vas installer JavaRa qui tu pourras garder ou désinstaller après.
Ce logiciel va aussi nettoyer et enlever toutes les anciennes versions présentes.
Télécharge JavaRa de PaulMcLain et Fred De Vries.
http://raproducts.org/click/click.php?id=1
Click droit sur l’archive JavaRa.zip et extraire sur le bureau.
Un dossier sera crée. L’ouvrir et double-cliquer sur JavaRa.exe pour le lancer
Choisis la langue ( anglais )
Une fenêtre va s’ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.
- Mise à jour :
clique sur Search for Updates et choisis l’option Update Using jucheck.exe. Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
Si oui, clique sur Installer puis suis les invites.
- Suppression des anciennes versions :
Relance JavaRa.exe s’il le faut et choisis Remove Older Versions.
Suis les invites.
Il te sera précisé de la suppression les versions trouvées et supprimées.
Un rapport a été crée. Poste le.
5) Tu vas utiliser CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
utilise les fonctions nettoyeur et registre.
6) Les points de restauration :
- Panneau de configuration --> Système --> Restauration du sytème
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
A+
