Bonjour a tous, je viens de recuperer un ordinateur sauf que voila, la personne avant moi a recuperé pas mal de virus... voici le rapport hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 15:08:43, on 24/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\S24EvMon.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\WINNT\System32\RegSrvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\WINNT\system32\rundll32.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\Explorer.exe
C:\WINNT\inet20004\services.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fujitsu\BATTERYAID\BATTERYAID.exe
C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINNT\AGRSMMSG.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINNT\System32\srwhost.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\WINNT\System32\priva.exe
C:\WINNT\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\helper.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe
F3 - REG:win.ini: run=C:\WINNT\inet20004\services.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [BATTERYAID] C:\Program Files\Fujitsu\BATTERYAID\BATTERYAID.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [netdaemon] C:\WINNT\System32\netdaemon /v
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [svtcin] C:\Documents and Settings\Choupie-San1\n20050308.a.Stub.EXE
O4 - HKLM\..\Run: [Microsoft Windows Update] scvvhost.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINNT\System32\explorer.exe
O4 - HKLM\..\Run: [System service78] C:\WINNT\etb\pokapoka78.exe
O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINNT\System32\ldvxu.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\priva.exe internat.dll,LoadMouseCarpetProfile
O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20004\services.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] scvvhost.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINNT\System32\kernels32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Windows Update] scvvhost.exe
O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet20004\services.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/1637dd [...] 601_fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{642AA87C-758C-4666-BD3B-026410A4A363}: NameServer = 192.168.0.1,213.190.64.161
O20 - Winlogon Notify: docent0 - C:\WINNT\SYSTEM32\docent0.dll
O20 - Winlogon Notify: msupdate - C:\WINNT\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: st3 - C:\WINNT\q830964.dll
O20 - Winlogon Notify: Syncmgr - C:\WINNT\system32\l4n40e5qeh.dll
O21 - SSODL: mtklefa - {49898C27-6690-4707-13A3-2A62B1378D11} - C:\WINNT\System32\pgzox32.dll (file missing)
O21 - SSODL: mtklefa - {49898C27-6690-4707-13A3-2A62B1378D11} - C:\WINNT\System32\pgzox32.dll (file missing)
O21 - SSODL: mtkle - {BB38AC0A-09FE-42B5-F1A2-084A8FD36D7C} - C:\WINNT\System32\pmbl32.dll
O21 - SSODL: W32Time - {81C6BF15-B384-57C6-40A2-C2D7D12D5837} - C:\WINNT\help\agt0410.hlp
O21 - SSODL: mtklefap - {5FC95B51-ABF4-4ECE-8FAD-8EF369A27591} - C:\WINNT\System32\rpgquq32.dll (file missing)
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: MySql - Unknown owner - DExyzt/mysqldata/bin/mysqld-nt.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINNT\System32\S24EvMon.exe

Si quelqu'un pouvait me donner un coup de main a comprendre et arranger le probleme ca serait vraiment sympa... Merci.

Salut

En effet... :-P

Fais ceci :

1/ Redémarrer en mode sans échec

Redémarre l'ordinateur. Après les écritures du BIOS, appuyes sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.

Dans ce menu, tu dois pouvoir choisir le mode sans échec (celà se passe avec les flèches et Entrée pour valider).

Le démarrage en mode sans échec est souvent relativement long. Si tu as des écritures blanches bizarres, ne t'inquiètes pas.
Prend juste ton mal en patience. ;-)


2/ Fixer des lignes

Relances HijackThis. Choisi Do a system scan only cette fois-ci.
Puis coche les lignes suivantes, et appuie sur Fix Checked.


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe
F3 - REG:win.ini: run=C:\WINNT\inet20004\services.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [netdaemon] C:\WINNT\System32\netdaemon /v
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [svtcin] C:\Documents and Settings\Choupie-San1\n20050308.a.Stub.EXE
O4 - HKLM\..\Run: [Microsoft Windows Update] scvvhost.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINNT\System32\explorer.exe
O4 - HKLM\..\Run: [System service78] C:\WINNT\etb\pokapoka78.exe
O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINNT\System32\ldvxu.exe

O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\priva.exe internat.dll,LoadMouseCarpetProfile
O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20004\services.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] scvvhost.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINNT\System32\kernels32.exe

O4 - HKCU\..\Run: [Microsoft Windows Update] scvvhost.exe
O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet20004\services.exe

O20 - Winlogon Notify: docent0 - C:\WINNT\SYSTEM32\docent0.dll
O20 - Winlogon Notify: msupdate - C:\WINNT\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: st3 - C:\WINNT\q830964.dll

O21 - SSODL: mtklefa - {49898C27-6690-4707-13A3-2A62B1378D11} - C:\WINNT\System32\pgzox32.dll (file missing)
O21 - SSODL: mtklefa - {49898C27-6690-4707-13A3-2A62B1378D11} - C:\WINNT\System32\pgzox32.dll (file missing)
O21 - SSODL: mtkle - {BB38AC0A-09FE-42B5-F1A2-084A8FD36D7C} - C:\WINNT\System32\pmbl32.dll
O21 - SSODL: W32Time - {81C6BF15-B384-57C6-40A2-C2D7D12D5837} - C:\WINNT\help\agt0410.hlp
O21 - SSODL: mtklefap - {5FC95B51-ABF4-4ECE-8FAD-8EF369A27591} - C:\WINNT\System32\rpgquq32.dll (file missing)


3/ Afficher tous les fichiers

Dans l'explorateur de Windows (par ex) :
Outils -> Options des dossier -> onglet Affichage

Coche : Afficher les fichiers cachés
Décoche : Masquer les extensions des types connus
Décoche : Masquer les fichiers protégés du système d'exploitation


6/ Supprimer des fichiers

Supprime les fichiers / dossiers en gras suivants :
(/!\ Attention à l'écriture exacte du nom des fichiers)


C:\WINNT\inet20004\ (suppr. ce dossier)
C:\WINNT\System32\netdaemon
C:\Documents and Settings\Choupie-San1\n20050308.a.Stub.EXE
scvvhost.exe (/!\ Ne touche pas à svchost.exe)
C:\WINNT\System32\spoolsvc.exe
scvhost.exe (/!\ Ne touche pas à svchost.exe)
C:\WINNT\System32\explorer.exe
C:\WINNT\etb\ (suppr. ce dossier)
srwhost.exe (/!\ Ne touche pas à svchost.exe)
C:\WINNT\System32\ldvxu.exe
scvvhost.exe (/!\ Ne touche pas à svchost.exe)
C:\WINNT\System32\kernels32.exe (/!\ Ne touche pas à kernel32.exe)
C:\WINNT\SYSTEM32\docent0.dll
C:\WINNT\SYSTEM32\msupdate32.dll
C:\WINNT\q830964.dll
C:\WINNT\System32\pgzox32.dll
C:\WINNT\System32\pmbl32.dll
C:\WINNT\help\agt0410.hlp
C:\WINNT\System32\rpgquq32.dll


Les fichiers sans arborescence sont dans C:\Windows ou C:\Windows\system32.
Si tu ne les trouves pas dans C:\Windows ou C:\Windows\system32, fais une recherche avec Windows.

Lorsqu'il y a marqué ~1, ça veut dire que tu n'as que le début du dossier d'écrit.
Exemple :
DOCUME~1 = Documents and Settings
APPLIC~1 = Application Data
etc...


7/ Redémarrer normalement

Redémarre normalement l'ordinateur.


8/ Remettre la configuration de l'affichage des fichiers comme avant

Dans l'explorateur de Windows (par ex) :
Outils -> Options des dossier -> onglet Affichage
Remet tout comme avant (si tu affichais déjà tous les fichiers, ne change rien).

Décoche : Afficher les fichiers cachés
Coche : Masquer les extensions des types connus
Coche : Masquer les fichiers protégés du système d'exploitation


9/ Nettoyer les traces avec CCleaner et Kaspersky

Fais des analyses avec CCleaner et Kaspersky.

Si tu ne sais pas utiliser Kaspersky :

10/ Reposter un log

Relances HijackThis. Choisi Do a system scan and save a logfile.
Et repostes nous ton nouveau log en nous précisant les étapes que tu n'as pas réussi.


--------------

Ensuite, tu as une infection de type Win32.Delf
Donc fais ceci :

---------------

Ensuite, tu as une infection Look 2 Me.
Installe le logiciel Spy Sweeper qui arrive à la supprimer parfois...


Ensuite repostes un log HijackThis.