Logfile of HijackThis v1.99.1
Scan saved at 18:59:59, on 30/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Admin\Mes documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WOOKIT] C:\Program Files\Wanadoo\EspaceWanadoo.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 0268761234
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: distributed.net client (dnetc) - Unknown owner - C:\WINDOWS\System32\iosdt\iosdt.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



Merci d'avance

Bonjour,

Je m'occupe ton log, je revien dans 10 minutes.

Merci beaucoup

1) Télécharge CCleaner : ici

2) Télécharge A²Free : ici

3) Lance A²Free, install le, enregistre toi en ligne pour obtenir la clé d'activation (gratuite)

4) Redémarre en mode sans échec, fait attention tu n'as pas accès à internet. Note bien se qu'il faut faire ou fait un copier coller.

Pour redémarrer en mode sans échec :

Démarre l'ordinateur, une fois le chargement du bios terminé, tapote sur la touche F8 ou F5 jusqu'à l'affichage des options de démarrage, avec les touches de ton curseur (les flèches de ton clavier), selectionne le mode sans échec et appuye sur entrée.

Ne pas selectionner le mode sans échec avec prise en charge réseau.


5) Lance et exécute ses programmes :

- Lance a²Free, supprime tous se qu'il te trouve, copie/colle le rapport dans le bloc note,
- Enregistre sous le bloc note.


6) Lance un scan HijackThis et coche les lignes ci-dessous :

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: distributed.net client (dnetc) - Unknown owner - C:\WINDOWS\System32\iosdt\iosdt.exe (file missing)

Ferme toutes les fenêtres, sauf le logiciel HijackThis et clique sur Fix checked


7) Assure toi l'acces aux fichiers cachés,

Clique sur Démarrer, Poste de travail, onglet Outils, Option des dossiers, onglet Affichage,
Active la case : Afficher les fichiers et dossiers cachés,
Désactive la case : Masquer les extensions des fichiers dont le type est connu,
Désactiver la case : Masquer les fichiers protégés du système d'exploitation,

Clique sur Appliquer puis sur Ok.


8) Recherche et supprime les fichiers et ou dossiers incriminés (si tu les trouves) :

C:\WINDOWS\system\svchost.exe
C:\WINDOWS\SYSTEM32\igfxsrvc.dll
C:\WINDOWS\System32\iosdt\iosdt.exe (file missing)


9) Assure toi de ne plus avoir acces aux fichiers cachés,

Clique sur Démarrer, Poste de travail, onglet Outils, Option des dossiers, onglet Affichage,
Désactive la case : Afficher les fichiers et dossiers cachés,
Active la case : Masquer les extensions des fichiers dont le type est connu,
Active la case : Masquer les fichiers protégés du système d'exploitation,

Clique sur Appliquer puis sur Ok.


10) Lance CCleaner :

Clique sur analyser, puis sur lancer le nétoyage.


11) Redémarre normalement et :

- Va faire un scan en ligne avec panda ici

- Poste ici une autre analyse hijackthis avec le rapport de a²Free et du scan de panda.

Tu n'a pas de parefeu, télécharge zonealarm (gratuit) ici

Supprimer svchost.exe ??????

t es sur
Sinon j ai le pseudo firewall du SP 2 + proxxy et firewall linux derriere

ALORS, si je dit svchost.exe s'est que j'ai une raison, tu est infecté. Il est dans le mauvais répertoire, dans ton log il est dans system hors il devrait se trouver dans le system32.

Pour ton parefeu, celui du SP2 est INEFICACE. Tous le monde a un autre parefeu, sinon sa ne sert a rien d'avoir un pc car tu as de forte chance d'être souvent infecté.

Je suis ENTIEREMENT avec leitho:le légitime se trouve dans system32, celui la non.Je te conseille vivement de suivre ses instructions.

C est bon desole j te fais confiance

Par contre je te dis que j qi proxxy et firewall derriere en linux

la preuve .
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128

quand au parefau de XP il ne vaut rien! télécharge zonealarm c'est mieux(il est gratuit et les deux peuvent cohabiter ensemble)

Bon écoute, je t'ai fai une bonne interprétation sans erreur, au contraire : tu est infecté par ces deux types de malwares : virus et trojan.

Donc soi tu reste comme sa se qui est ton problème, soi tu sui mes instructions et on corrige les problèmes.

Voilà, j'ai enfin fini.

C'est que c'était long à faire toutes ces analyses.

Donc, voilà le rapport a-squared


Nom du fichier Diagnostic
C:\Documents and Settings\Admin\Cookies\admin@as1.falkag[1].txt Trace.TrackingCookie
C:\Documents and Settings\Admin\Cookies\admin@atdmt[1].txt Trace.TrackingCookie
C:\Documents and Settings\Admin\Cookies\admin@com[2].txt Trace.TrackingCookie
C:\Documents and Settings\Admin\Cookies\admin@weborama[2].txt Trace.TrackingCookie
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\BearShare Pro 4.3.0 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\BearShare Pro 4.3.0 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Borland C++ BuilderX 1.0 Enterprise Edition Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Borland C++ BuilderX 1.0 Enterprise Edition Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Dragon NaturallySpeaking 8 ISO Multilanguage Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Dragon NaturallySpeaking 8 ISO Multilanguage Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Half Life 2 beta patch2 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Half Life 2 beta patch2 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Half Life 2 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Half Life 2 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Halo Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Halo Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\iMesh 4.2 Ad Remover Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\iMesh 4.2 Ad Remover Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Macromedia Contribute 2 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Macromedia Contribute 2 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Macromedia Studio MX 2004 AllApps Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Macromedia Studio MX 2004 AllApps Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\McAfee Personal Firewall Plus 2004 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\McAfee Personal Firewall Plus 2004 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\McAfee SpamKiller 2004 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\McAfee SpamKiller 2004 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\McAfee VirusScan Home Edition 2004 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\McAfee VirusScan Home Edition 2004 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Microsoft Office System Professional V2003 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Microsoft Office System Professional V2003 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Nero Burning ROM v6.0.0.19 Ultra Edition Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Nero Burning ROM v6.0.0.19 Ultra Edition Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\NetObjects Fusion v7.5 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\NetObjects Fusion v7.5 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\NHL 2004 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\NHL 2004 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Norton Antispam 2004 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Norton Antispam 2004 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Norton AntiVirus 2004 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Norton AntiVirus 2004 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Norton SystemWorks 2004 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Norton SystemWorks 2004 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Sophos AntiVirus v3.74 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Sophos AntiVirus v3.74 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\TVTool v8.31 Crack.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\TVTool v8.31 Keygen.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\SMSSwg.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\SMSSye.exe Email-Worm.Win32.Torvil.d
C:\WINDOWS\svchost.exe

et voici de nouveau un rapport HiJackThis.

Logfile of HijackThis v1.99.1
Scan saved at 01:40:20, on 31/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Admin\Mes documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog D