Vous n'êtes pas connecté.
Bonjour à tous,
j'avais laissé un message il y a quelques temps sur le site : http://www.virustraq.com/forum/viewtopi … d=275#p275
Malheureusement depuis je n'ai pas eu le temps de beaucoup m'en occuper.
Merci à Polo62 de m'avoir informé qu'il fallait créer un sujet concernant mon problème...
Visiblement il est sérieux....
je vous explique : au début j'avais sur le coté droit de mon bureau une barre qui se mettait : (gambling, dating, pharmacy, xxx, spyware, insurance), j'ai fini apparemment par la supprimer... Depuis je perds régulièrement mon fond d'écran et les rubriques apparaissent dans certains de mes fenêtres...
En parallèle j'ai un logiciel qui démare de l'arrivée sur windows avant tous les logiciels de la rubrique démarrage qui s'appelle [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe". Il me fait un check à chaque fois que je démarre...
bien sût je n'arrive pas à me débarasser de tout ce petit monde...
Merci par avance pour votre aide,
ideodenba
Voici ci dessous deux log de hijack this, le premier après démarrage en mode normal, le deuxième en mode sans échec... AIDEZ MOI !! (
Logfile of HijackThis v1.99.1
Scan saved at 14:22:07, on 06/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tcqwi.dll/sp.html#44768
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {0DFA1B34-EAC7-3E2D-890A-96BC53C9761D} - startman.dll (file missing)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\SOFIAL-Seine&Marne\Application Data\Mozilla\Profiles\default\wz6xrenm.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\endnx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Class - {EC241FF0-652E-A2FA-E684-F15E5A9719CD} - C:\WINDOWS\javaby.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\endnx.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [revcpch] C:\WINDOWS\revcpch.exe
O4 - HKLM\..\Run: [bqdwnar] C:\WINDOWS\bqdwnar.exe
O4 - HKLM\..\Run: [pcnqpqt] C:\WINDOWS\pcnqpqt.exe
O4 - HKLM\..\Run: [fkhghon] C:\WINDOWS\fkhghon.exe
O4 - HKLM\..\Run: [jqpylix] C:\WINDOWS\jqpylix.exe
O4 - HKLM\..\Run: [QUpGVs1x] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [NAVNet] "C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\487.tmp" /m
O4 - HKLM\..\Run: [awVGYcow] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [YUpGZgox] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [62B.tmp] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62B.tmp.exe
O4 - HKLM\..\Run: [62C.tmp] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62C.tmp.exe
O4 - HKLM\..\Run: [62B.tmp.exe] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62B.tmp.exe
O4 - HKLM\..\Run: [MsNetHelper] SysEntry.exe
O4 - HKLM\..\Run: [killall] media64.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O4 - HKCU\..\Run: [EPSON Stylus C60 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C60 Series" /O5 "LPT1:" /M "Stylus C60"
O4 - HKCU\..\Run: [EPSON Stylus C60 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P33 "EPSON Stylus C60 Series (Copie 1)" /O6 "USB001" /M "Stylus C60"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [EXE32EXE] SysSupport.exe
O4 - HKCU\..\Run: [utsgmon] vxdman.exe
O4 - HKCU\..\Run: [abrek] dePloy.exe
O4 - Startup: MS Outlook.lnk = ?
O4 - Startup: WanadooADSL.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (HKCU)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\info6.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/281b7815/enter.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c … st0401.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19c2697c428 … 601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo … loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB11D88-D4B5-44ED-9A55-D56A8A6136D8}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AA7F9E4-7A9D-412B-B801-6473A08B58A9}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{8371448E-C542-464F-98D3-AD6DD26E493F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{A40C4E24-8D29-4057-808C-6D89B7EE22E0}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{CECB2026-94DE-4213-9030-2BE511E419F5}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{E012D3C7-BDF2-47DD-B251-84812C442C53}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O21 - SSODL: DqfSahFEz - {247B0D79-8ED1-A7D3-48F1-FF425BD3898E} - C:\WINDOWS\system32\eap.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo AntiVirus (BackWeb Client - 174112) - Unknown owner - C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RadClock - Unknown owner - C:\Program Files\RadLinker\RadClock.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
================================================
Edit:
J'ai supprimé le log en mode sans echec (pas lieu d'être) ainsi que ta participation dans l'autre question en supposant qu'elle n'avait plus lieu d'etre en raison de cette nouvelle question.
cordialement, polo62
Hors ligne
Bonjour,
Une belle colonie dis moi...
Cette procédure est à faire si possible dans l'ordre je te conseille même d'imprimer tout ca
Télécharge smitfraudfix http://siri.urz.free.fr/Fix/SmitfraudFix.zip
décompresse le sur le bureau
Lance smitfraud.cmd
choisis l'option 2
- Télécharge et installe
Ad-aware SE personal 1.06 et son patch fr http://sosordi.net/Telechargement/logic … e-personal
Tuto http://tutopat.hostonet.org/viewtopic.php?t=207
- Mise à jour et scan. Supprime tout ce qu'il trouve
Spybot - Search & Destroy 1.4 http://sosordi.net/Telechargement/logic … ch-destroy A son installation activer TeaTimer
Tuto http://www.zebulon.fr/articles/spybot_1.php
- Mise à jour et scan. Supprime tout ce qu'il trouve
Ccleaner http://sosordi.net/Telechargement/logiciel-147-ccleaner
sur la page de filehippo clique sur Download Latest Version
Regseeker http://sosordi.net/Telechargement/logiciel-83-regseeker
Un tuto http://www.zebulon.fr/articles/regseeker-1.php
- Décompresse le dans un dossier (c:\regseeker)
--------------------
- Autorise l'affichage des fichiers et dossiers cachés
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements
--------------------
- Désactive la restauration système http://www.sosordi.net/Astuce/Astuce.29.html
Tu réactiveras la restauration une fois le nettoyage terminé
--------------------
- Redémarre ton PC en mode sans échec Impératif !!!
--------------------
Relance une seconde fois smitfraud.cmd option 2
--------------------
- Relances Hijackthis, clique sur le bouton Scanner seulement
- Coche la case devant ces lignes
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tcqwi.dll/sp.html#44768
R3 - URLSearchHook: (no name) - {0DFA1B34-EAC7-3E2D-890A-96BC53C9761D} - startman.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\endnx.dll
O2 - BHO: Class - {EC241FF0-652E-A2FA-E684-F15E5A9719CD} - C:\WINDOWS\javaby.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\endnx.dll
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [revcpch] C:\WINDOWS\revcpch.exe
O4 - HKLM\..\Run: [bqdwnar] C:\WINDOWS\bqdwnar.exe
O4 - HKLM\..\Run: [pcnqpqt] C:\WINDOWS\pcnqpqt.exe
O4 - HKLM\..\Run: [fkhghon] C:\WINDOWS\fkhghon.exe
O4 - HKLM\..\Run: [jqpylix] C:\WINDOWS\jqpylix.exe
O4 - HKLM\..\Run: [QUpGVs1x] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [NAVNet] "C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\487.tmp" /m
O4 - HKLM\..\Run: [awVGYcow] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [YUpGZgox] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [62B.tmp] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62B.tmp.exe
O4 - HKLM\..\Run: [62C.tmp] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62C.tmp.exe
O4 - HKLM\..\Run: [62B.tmp.exe] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62B.tmp.exe
O4 - HKLM\..\Run: [MsNetHelper] SysEntry.exe
O4 - HKLM\..\Run: [killall] media64.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [EXE32EXE] SysSupport.exe
O4 - HKCU\..\Run: [utsgmon] vxdman.exe
O4 - HKCU\..\Run: [abrek] dePloy.exe
O4 - Startup: MS Outlook.lnk = ?
O4 - Startup: WanadooADSL.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (HKCU)
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\info6.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/281b7815/enter.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB11D88-D4B5-44ED-9A55-D56A8A6136D8}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AA7F9E4-7A9D-412B-B801-6473A08B58A9}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{8371448E-C542-464F-98D3-AD6DD26E493F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{A40C4E24-8D29-4057-808C-6D89B7EE22E0}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{CECB2026-94DE-4213-9030-2BE511E419F5}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{E012D3C7-BDF2-47DD-B251-84812C442C53}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O21 - SSODL: DqfSahFEz - {247B0D79-8ED1-A7D3-48F1-FF425BD3898E} - C:\WINDOWS\system32\eap.dll (file missing)
- clique sur le bouton Fixer objet
--------------------
Recherche et supprime (si présent)
Ces fichiers
C:\WINDOWS\system32\tcqwi.dll/sp.html#44768
startman.dll
C:\WINDOWS\javaby.dll
C:\WINDOWS\system32\endnx.dll
C:\WINDOWS\revcpch.exe
C:\WINDOWS\bqdwnar.exe
C:\WINDOWS\pcnqpqt.exe
C:\WINDOWS\fkhghon.exe
C:\WINDOWS\jqpylix.exe
C:\WINDOWS\system32\hgqhp.exe
C:\winstall.exe
C:\WINDOWS\system32\eap.dll
dePloy.exe
SysEntry.exe
media64.exe
Ces dossiers
c:\program files\altnet
C:\Program Files\UnSpyPC
C:\PROGRA~1\voqurrvo
--------------------
- Utilise regseeker
nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees
--------------------
- Utilise Ccleaner pour parfaire le ménage sur ton disque dur
- Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers
- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage
--------------------
- Redémarre en mode normal
--------------------
- Refais un scan avec Hijackthis (en mode normal) et poste son rapport
Hors ligne
Bonsoir,
Merci encore pour le coup de main...
Ca n'a pas été une mince affaire mais j'ai suivi toute la procédure et le résultat est probant...
Voici le log d'hijackthis... Si tu repeérais des trucs encore, n'hésites pas... Merci beaucoup,
Je ne sais pas si c'est lié mais au démarrage securitoo me repère un "backdoor...." qu'il n'arrive pas à supprimer...
Bonne soirée,
Logfile of HijackThis v1.99.1
Scan saved at 18:14:29, on 09/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {0DFA1B34-EAC7-3E2D-890A-96BC53C9761D} - startman.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\SOFIAL-Seine&Marne\Application Data\Mozilla\Profiles\default\wz6xrenm.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Class - {EC241FF0-652E-A2FA-E684-F15E5A9719CD} - C:\WINDOWS\javaby.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [revcpch] C:\WINDOWS\revcpch.exe
O4 - HKLM\..\Run: [bqdwnar] C:\WINDOWS\bqdwnar.exe
O4 - HKLM\..\Run: [pcnqpqt] C:\WINDOWS\pcnqpqt.exe
O4 - HKLM\..\Run: [fkhghon] C:\WINDOWS\fkhghon.exe
O4 - HKLM\..\Run: [jqpylix] C:\WINDOWS\jqpylix.exe
O4 - HKLM\..\Run: [QUpGVs1x] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [NAVNet] "C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\487.tmp" /m
O4 - HKLM\..\Run: [awVGYcow] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [YUpGZgox] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [62B.tmp] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62B.tmp.exe
O4 - HKLM\..\Run: [62C.tmp] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62C.tmp.exe
O4 - HKLM\..\Run: [62B.tmp.exe] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62B.tmp.exe
O4 - HKLM\..\Run: [MsNetHelper] SysEntry.exe
O4 - HKLM\..\Run: [killall] media64.exe
O4 - HKLM\..\Run: [dmwts.exe] C:\WINDOWS\system32\dmwts.exe
O4 - HKLM\..\Run: [dmchc.exe] C:\WINDOWS\system32\dmchc.exe
O4 - HKCU\..\Run: [EPSON Stylus C60 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C60 Series" /O5 "LPT1:" /M "Stylus C60"
O4 - HKCU\..\Run: [EPSON Stylus C60 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P33 "EPSON Stylus C60 Series (Copie 1)" /O6 "USB001" /M "Stylus C60"
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [EXE32EXE] SysSupport.exe
O4 - HKCU\..\Run: [utsgmon] vxdman.exe
O4 - HKCU\..\Run: [abrek] dePloy.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\info6.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/281b7815/enter.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c … st0401.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19c2697c428 … 601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo … loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB11D88-D4B5-44ED-9A55-D56A8A6136D8}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AA7F9E4-7A9D-412B-B801-6473A08B58A9}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{8371448E-C542-464F-98D3-AD6DD26E493F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{A40C4E24-8D29-4057-808C-6D89B7EE22E0}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{CECB2026-94DE-4213-9030-2BE511E419F5}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{E012D3C7-BDF2-47DD-B251-84812C442C53}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O21 - SSODL: DqfSahFEz - {247B0D79-8ED1-A7D3-48F1-FF425BD3898E} - C:\WINDOWS\system32\eap.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo AntiVirus (BackWeb Client - 174112) - Unknown owner - C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RadClock - Unknown owner - C:\Program Files\RadLinker\RadClock.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Hors ligne
Bonjour,
Reprend exactement la même procedure que precedement attention en mode sans echec.
fixe en même temps
toutes les lignes 015, 016, 017, 021
ensuite fais un scan ici avec internet explorer http://www.pandasoftware.com/activescan … ncipal.htm
sauvegarde et fais un copier coller de son rapport
Hors ligne
Bonjour Polo62...
Bon c'est dur dur en ce moment... J'ai fait comme tu me l'as indiqué, il y a quelques temps déjà mais je n'ai pu prendre le temps de poster le rapport, le voici ci-dessous...
A noter plusieurs petites choses :
en mode sans échec, "explorer.exe" plante et il me rouvrait la fenêtre "windows fonctionne en mode sans échec... oui ou non" donc je recliquais sur oui afin de rester en mode sans échec....
Ad aware a planté deux fois et n'a pas pu tout éliminer, il a fallu redémarrer l'ordi pour qu'il puisse le faire (selon lui).
Je n'arrive pas à effacer : c:\programs files\voqurrvo\ au sein du dossier c'est le fichier cuml.exe pour lequel l'accès est refusé...
Par ailleurs, je ne sais pas si c'est lié mais je reçois mes messages mails mais la plupart que je renvoie ne passe pas et il me fais parvenir dans la foulée le mail suivant :
De: Administrateur système
Envoyé: jeudi 19 janvier 2006 19:02
Objet: Non remis : 2
Certains des destinataires ou tous les destinataires n'ont pas reçu votre message.
Objet : 2
Date : 19/01/2006 19:02
Impossible de contacter le(s) destinataire(s) suivant(s) :
' ' le 19/01/2006 19:02
554 < >: Relay access denied
' ' le 19/01/2006 19:02
554 < >: Relay access denied
Bref, en ce moment l'informatique ne me veut pas que du bien...
Voici le rapport, merci de me tenir au courant sur d'éventuels procédures à reprendre...
Merci beaucoup, bonne journée,
Incident Statut Analyse
Virus:VBS/Inor.gen Désinfecté C:\ccc222138.hta
Virus:W97M/Proverb.A Désinfecté Dossiers personnels\Boîte de réception\GENEVRAYE\REGL GENEVRAYE P2 rtf.doc
Virus:W97M/Proverb.A Désinfecté Dossiers personnels\Boîte de réception\GENEVRAYE\REGL GENEVRAYE P3 rtf.doc
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\SOFIAL-Seine&Marne\Bureau\SmitfraudFix\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\SOFIAL-Seine&Marne\Bureau\SmitfraudFix.zip[Process.exe]
Adware:Adware/SearchAid No Désinfecté C:\ms32.tmp
Adware:Adware/eZula No Désinfecté C:\Program Files\MP3 to WAV Decoder\MthreeTopText_ezStub.exe
Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Nettoyage\Smit\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Nettoyage\Smit\SmitfraudFix.zip[Process.exe]
Spyware:Spyware/CommonName No Désinfecté C:\Program Files\rpwxwwvt\ikw.exe
Spyware:Spyware/CommonName No Désinfecté C:\Program Files\rpwxwwvt\utxsxsrv.0xe
Spyware:Spyware/CommonName No Désinfecté C:\Program Files\rpwxwwvt\vrsxsxtu.0ll
Spyware:Spyware/Clipgenie No Désinfecté C:\Program Files\Support Software\SS2.DLL
Spyware:Spyware/CommonName No Désinfecté C:\Program Files\voqurrvo\cnml.exe
Dialer:Dialer.FFT No Désinfecté C:\WINDOWS\adiras.exe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\apimd.0ll
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\d3cr32.0xe
Virus:Trj/Dumaru.Q Désinfecté C:\WINDOWS\dvpd.0ll
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\ieeq.0xe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\msll32.0xe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\nettt.0xe
Virus:Trj/Downloader.BMZ Désinfecté C:\WINDOWS\prntsvra.0ll
Dialer:Dialer.KI No Désinfecté C:\WINDOWS\Q3158922.0xe
Dialer:Dialer.KI No Désinfecté C:\WINDOWS\Q3275580.0xe
Adware:adware/sbsoft No Désinfecté C:\WINDOWS\rdt.ini
Dialer:Dialer.JK No Désinfecté C:\WINDOWS\svchost.0xe
Virus:Trj/Agent.VN Désinfecté C:\WINDOWS\system32\cryu32.0xe
Virus:Trj/Aram.A Désinfecté C:\WINDOWS\system32\csjcp.exe
Virus:Trj/Agent.VN Désinfecté C:\WINDOWS\system32\d3ic32.0xe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\system32\d3rk32.0xe
Virus:Trj/Downloader.DCU Désinfecté C:\WINDOWS\system32\dgprpsetup.0xe
Virus:Trj/Downloader.DCU Désinfecté C:\WINDOWS\system32\dgprpsetup.exe
Virus:Trj/Eiro.D Désinfecté C:\WINDOWS\system32\dmchc.0xe
Hacktool:hacktool/rootkit.m No Désinfecté C:\WINDOWS\system32\drivers\winik.sys
Adware:adware/ideskbar No Désinfecté C:\WINDOWS\system32\drivers\zpmodemnt.sys
Virus:Trj/Downloader.FFZ Désinfecté C:\WINDOWS\system32\encodex.0xe
Adware:Adware/Spoon No Désinfecté C:\WINDOWS\system32\favset.0xe
Adware:Adware/IdeskBar No Désinfecté C:\WINDOWS\system32\howiper.0xe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\system32\mfcxa.0xe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\system32\netda32.0xe
Adware:Adware/QuickWeb No Désinfecté C:\WINDOWS\system32\pppcgm.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe
Virus:Bck/Dumador.CH Désinfecté C:\WINDOWS\system32\winldra.0xe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\system32\winqp.0xe
Virus:Trj/Agent.VN Désinfecté C:\WINDOWS\winbq32.0xe
Virus:Bck/Dumador.CH Désinfecté C:\WINDOWS\winldra.0xe
Hors ligne
Bonjour
redemarre en mode sans echec
recherche et supprime chacun de ces fichiers
Attention au nom exact du fichier et de l'extention
C:\ms32.tmp
C:\Program Files\MP3 to WAV Decoder\MthreeTopText_ezStub.exe
C:\Program Files\Support Software\SS2.DLL
C:\Program Files\voqurrvo\cnml.exe
C:\WINDOWS\adiras.exe
C:\WINDOWS\apimd.0ll
C:\WINDOWS\d3cr32.0xe
C:\WINDOWS\dvpd.0ll
C:\WINDOWS\ieeq.0xe
C:\WINDOWS\msll32.0xe
C:\WINDOWS\nettt.0xe
C:\WINDOWS\prntsvra.0ll
C:\WINDOWS\Q3158922.0xe
C:\WINDOWS\Q3275580.0xe
C:\WINDOWS\rdt.ini
C:\WINDOWS\svchost.0xe
et ce dossier
C:\Program Files\rpwxwwvt
Lance (avant tout redemarrage) Ccleaner suivi de Regseeker
Redemarre en mode normal et refais un scan
Hors ligne
BOnjour,
Bon mon ordi va-t-il s'en sortir... Réponse au prochaine épisode !
J'ai un peu de mal à effectuer les procédures que tu m'indiques de manière rapide mais je les fais, c'est le principal !
Voici donc le résultat concernant la suppression des fichiers et dossier listés dans ton message :
C:\ms32.tmp - Supprimé
C:\Program Files\MP3 to WAV Decoder\MthreeTopText_ezStub.exe - Supprimé
C:\Program Files\Support Software\SS2.DLL - supprimé
C:\Program Files\voqurrvo\cnml.exe - N'arrive pas à le supprimer
C:\WINDOWS\adiras.exe - Supprimé
C:\WINDOWS\apimd.0ll - Non trouvé
C:\WINDOWS\d3cr32.0xe - Supprimé
C:\WINDOWS\dvpd.0ll - Non trouvé
C:\WINDOWS\ieeq.0xe - Supprimé
C:\WINDOWS\msll32.0xe - Supprimé
C:\WINDOWS\nettt.0xe - Supprimé
C:\WINDOWS\prntsvra.0ll - Non trouvé
C:\WINDOWS\Q3158922.0xe - Supprimé
C:\WINDOWS\Q3275580.0xe - Supprimé
C:\WINDOWS\rdt.ini - Supprimé
C:\WINDOWS\svchost.0xe - Supprimé
et ce dossier
C:\Program Files\rpwxwwvt - Supprimé
Comme tu peux le constater le fichier cnml.exe reste indestructible...
Comme le type de scan n'était pas précisé, j'ai fait un hijack this puis un tour du côté de pandasoft voici respectivement leurs bilans :
Logfile of HijackThis v1.99.1
Scan saved at 09:35:19, on 30/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {0DFA1B34-EAC7-3E2D-890A-96BC53C9761D} - startman.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\SOFIAL-Seine&Marne\Application Data\Mozilla\Profiles\default\wz6xrenm.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Class - {EC241FF0-652E-A2FA-E684-F15E5A9719CD} - C:\WINDOWS\javaby.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [revcpch] C:\WINDOWS\revcpch.exe
O4 - HKLM\..\Run: [bqdwnar] C:\WINDOWS\bqdwnar.exe
O4 - HKLM\..\Run: [pcnqpqt] C:\WINDOWS\pcnqpqt.exe
O4 - HKLM\..\Run: [fkhghon] C:\WINDOWS\fkhghon.exe
O4 - HKLM\..\Run: [jqpylix] C:\WINDOWS\jqpylix.exe
O4 - HKLM\..\Run: [QUpGVs1x] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [NAVNet] "C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\487.tmp" /m
O4 - HKLM\..\Run: [awVGYcow] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [YUpGZgox] C:\PROGRA~1\voqurrvo\cIwCAsBN.exe
O4 - HKLM\..\Run: [62B.tmp] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62B.tmp.exe
O4 - HKLM\..\Run: [62C.tmp] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62C.tmp.exe
O4 - HKLM\..\Run: [62B.tmp.exe] C:\DOCUME~1\SOFIAL~1\LOCALS~1\Temp\62B.tmp.exe
O4 - HKLM\..\Run: [MsNetHelper] SysEntry.exe
O4 - HKLM\..\Run: [killall] media64.exe
O4 - HKLM\..\Run: [dmwts.exe] C:\WINDOWS\system32\dmwts.exe
O4 - HKLM\..\Run: [dmchc.exe] C:\WINDOWS\system32\dmchc.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [EXE32EXE] SysSupport.exe
O4 - HKCU\..\Run: [utsgmon] vxdman.exe
O4 - HKCU\..\Run: [abrek] dePloy.exe
O4 - HKCU\..\Run: [EPSON Stylus C60 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P33 "EPSON Stylus C60 Series (Copie 1)" /O6 "USB001" /M "Stylus C60"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\info6.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/281b7815/enter.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c … st0401.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/19c2697c428 … 601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo … loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB11D88-D4B5-44ED-9A55-D56A8A6136D8}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AA7F9E4-7A9D-412B-B801-6473A08B58A9}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{8371448E-C542-464F-98D3-AD6DD26E493F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{A40C4E24-8D29-4057-808C-6D89B7EE22E0}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{CECB2026-94DE-4213-9030-2BE511E419F5}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{E012D3C7-BDF2-47DD-B251-84812C442C53}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DE44FBC-AA80-4F2D-8FF3-5FBB2A4B1E7F}: NameServer = 85.255.116.29,85.255.112.182
O21 - SSODL: DqfSahFEz - {247B0D79-8ED1-A7D3-48F1-FF425BD3898E} - C:\WINDOWS\system32\eap.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo AntiVirus (BackWeb Client - 174112) - Unknown owner - C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RadClock - Unknown owner - C:\Program Files\RadLinker\RadClock.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
------------------------------------------------------------------------------------
Incident Statut Analyse
Virus:W32/Mabutu.A.worm Désinfecté Dossiers personnels\Éléments supprimés\Fetishes\photo.zip[photo.jpg .scr]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\SOFIAL-Seine&Marne\Bureau\SmitfraudFix\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\SOFIAL-Seine&Marne\Bureau\SmitfraudFix.zip[Process.exe]
Virus:W32/Mabutu.A.worm Désinfecté Dossiers personnels\Éléments supprimés\Fetishes\photo.zip[photo.jpg .scr]
Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Nettoyage\Smit\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Nettoyage\Smit\SmitfraudFix.zip[Process.exe]
Spyware:Spyware/CommonName No Désinfecté C:\Program Files\voqurrvo\cnml.exe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\apimd.0ll
Adware:adware/ideskbar No Désinfecté C:\WINDOWS\system32\close.bmp
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\system32\d3rk32.0xe
Hacktool:hacktool/rootkit.m No Désinfecté C:\WINDOWS\system32\drivers\winik.sys
Adware:Adware/Spoon No Désinfecté C:\WINDOWS\system32\favset.0xe
Adware:Adware/IdeskBar No Désinfecté C:\WINDOWS\system32\favset.exe
Adware:Adware/IdeskBar No Désinfecté C:\WINDOWS\system32\howiper.0xe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\system32\mfcxa.0xe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\system32\netda32.0xe
Adware:Adware/QuickWeb No Désinfecté C:\WINDOWS\system32\pppcgm.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\system32\winqp.0xe
Il semblerait que tout ne soit pas réglé... J'espère que l'on va pouvoir trouver une solution. MErci encore pour ton aide et ta patience.
A+ et bonne journée
Hors ligne
Re-bonjour !!
Bon je ne sais pas si c'est lié mais j'en avais déjà parlé dans mon avant dernier message, j'ai des soucis avec MS Outlook, il me renvoie toujours des messages d'erreur lors d'envoi de mail quelque soit le destinataire...
Le voici :
De: Administrateur système
Envoyé: jeudi 19 janvier 2006 19:02
Objet: Non remis : 2
Certains des destinataires ou tous les destinataires n'ont pas reçu votre message.
Objet : 2
Date : 19/01/2006 19:02
Impossible de contacter le(s) destinataire(s) suivant(s) :
' ' le 19/01/2006 19:02
554 < >: Relay access denied
' ' le 19/01/2006 19:02
554 < >: Relay access denied
Après le nettoyage que j'ai effectué, j'ai décidé de desinstaller et de réinstaller office afin de solutionner ce problème... Rien y a fait ! Je commence à me demander si la solution ne serait pas de formater tout mon disque dur....
Merci de me donner ton avis.
A+
Hors ligne
Avec hijackthis en mode sans echec fixe toutes les lignes 015, 017, 021
- Autorise l'affichage des fichiers et dossiers cachés
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements
Le rapport panda te donne les chemins d'acces de tous les fichiers a supprimer
si tu n'y arrive pas manuellement tu trouveras une procedure efficace ici http://sosordi.net/Article/103-10-suppr … calcitrant
Hors ligne