[résolu] supprimer command service, help!
Dernière réponse : dans Sécurité
Bonjour,
Je n'arrive pas à supprimer command service avec Spybot.... et je suis très très nulle en informatique....
En jetant un coup d'oeil aux autres topics j'ai vu qu'il fallait faire un rapport avec hijackthis, alors le voilà
Merci à ceux qui voudront bien m'aider!
Logfile of HijackThis v1.99.1
Scan saved at 00:14:11, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.143 86.64.145.143
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINNT\services.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)
Je n'arrive pas à supprimer command service avec Spybot.... et je suis très très nulle en informatique....
En jetant un coup d'oeil aux autres topics j'ai vu qu'il fallait faire un rapport avec hijackthis, alors le voilà
Merci à ceux qui voudront bien m'aider!
Logfile of HijackThis v1.99.1
Scan saved at 00:14:11, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.143 86.64.145.143
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINNT\services.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)
Autres pages sur : resolu supprimer command service help
Lassé par la pub ? Créez un compte
Bonjour
$$ Télécharge
SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.e...
clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
$$ Redémarre en mode sans échec.
émarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
$$ Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
Choisis l'option 2
Enregistre le rapport une fois le scan terminé
$$ Double clique sur SDFix.exe et choisis Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche
Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec le rapport qui se trouve ici C:\rapport_clean.txt et un nouveau HijackThis.
$$ Télécharge
SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.e...
clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
$$ Redémarre en mode sans échec.
émarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
$$ Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
Choisis l'option 2
Enregistre le rapport une fois le scan terminé
$$ Double clique sur SDFix.exe et choisis Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche
Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec le rapport qui se trouve ici C:\rapport_clean.txt et un nouveau HijackThis.
Citation :
$$ Redémarre en mode sans échec. émarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
Désolée je dois être très très très blonde! je n'arrive pas à redémarrer en mode sans échec. J'appuie sur la touche F8 au moment où l'écran de vient noir après le chargement (même que j'appuie au moment ou est affiché :" appuyez sur F8 pour la résolution des problèmes"), je laisse désespérément mon doigt appuyé, et il ne se passe jamais rien.....!(à part que ça démarre normalement). J'ai essayé une bonne dizaine de fois.... (et aussi avec F5, j'ai lu quelque part que des fois il fallait faire ça) et rien.... Suis-je vraiment un cas désespéré qui ne sait même pas effectuer les manipulations les plus simples?
Il ne faut pas rester appuyé dessus, mais tapoter jusqu'à ce que cela fonctionne.
Autre solution
http://service1.symantec.com/support/inter/tsgeninfoint...
Autre solution
http://service1.symantec.com/support/inter/tsgeninfoint...
Blonde.... il suffisait d'activer la touche "F Lock" pour que mes touces en F fonctionnent... j'ai honte! Je me fais pitié! Bref
le reste s'est je crois bien déroulé, et voici les rapports demandés:
SDFix: Version 1.75
Run by Administrateur - lun. 02/04/2007 - 2:33:18,93
Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Name:
MicroSoft Media Tools
ServiceHost
Windows Update Service
wins
ImagePath:
"C:\WINNT\MSmedia.exe"
"C:\WINNT\shost.exe"
"C:\WINNT\services.exe"
"C:\WINNT\system32\winscntrl.exe"
MicroSoft Media Tools Deleted
ServiceHost Deleted
Windows Update Service Deleted
wins Deleted
Restoring Windows Registry Entries
Restoring Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Below files will be copied to Backups folder then removed:
C:\WINNT\SYSTEM32\ODLK.EXE - Deleted
C:\WINNT\system32\TFTP1004 - Deleted
C:\WINNT\system32\TFTP1024 - Deleted
C:\WINNT\system32\TFTP1032 - Deleted
C:\WINNT\system32\TFTP1036 - Deleted
C:\WINNT\system32\TFTP1072 - Deleted
C:\WINNT\system32\TFTP1080 - Deleted
C:\WINNT\system32\TFTP1096 - Deleted
C:\WINNT\system32\TFTP1112 - Deleted
C:\WINNT\system32\TFTP1116 - Deleted
C:\WINNT\system32\TFTP1124 - Deleted
C:\WINNT\system32\TFTP1136 - Deleted
C:\WINNT\system32\TFTP1140 - Deleted
C:\WINNT\system32\TFTP1168 - Deleted
C:\WINNT\system32\TFTP1184 - Deleted
C:\WINNT\system32\TFTP1200 - Deleted
C:\WINNT\system32\TFTP1236 - Deleted
C:\WINNT\system32\TFTP1244 - Deleted
C:\WINNT\system32\TFTP1596 - Deleted
C:\WINNT\system32\TFTP2236 - Deleted
C:\WINNT\system32\TFTP2240 - Deleted
C:\WINNT\system32\TFTP2288 - Deleted
C:\WINNT\system32\TFTP276 - Deleted
C:\WINNT\system32\TFTP308 - Deleted
C:\WINNT\system32\TFTP312 - Deleted
C:\WINNT\system32\TFTP3292 - Deleted
C:\WINNT\system32\TFTP3324 - Deleted
C:\WINNT\system32\TFTP3496 - Deleted
C:\WINNT\system32\TFTP3536 - Deleted
C:\WINNT\system32\TFTP3552 - Deleted
C:\WINNT\system32\TFTP3556 - Deleted
C:\WINNT\system32\TFTP3680 - Deleted
C:\WINNT\system32\TFTP3864 - Deleted
C:\WINNT\system32\TFTP388 - Deleted
C:\WINNT\system32\TFTP428 - Deleted
C:\WINNT\system32\TFTP4436 - Deleted
C:\WINNT\system32\TFTP472 - Deleted
C:\WINNT\system32\TFTP484 - Deleted
C:\WINNT\system32\TFTP4944 - Deleted
C:\WINNT\system32\TFTP5856 - Deleted
C:\WINNT\system32\TFTP628 - Deleted
C:\WINNT\system32\TFTP652 - Deleted
C:\WINNT\system32\TFTP712 - Deleted
C:\WINNT\system32\TFTP756 - Deleted
C:\WINNT\system32\TFTP880 - Deleted
C:\WINNT\system32\TFTP884 - Deleted
C:\WINNT\system32\TFTP892 - Deleted
C:\WINNT\system32\TFTP908 - Deleted
C:\WINNT\system32\TFTP936 - Deleted
C:\WINNT\system32\TFTP976 - Deleted
C:\WINNT\system32\TFTP988 - Deleted
C:\WINNT\system32\TFTP992 - Deleted
ADS Check:
C:\WINNT\system32
No streams found.
Final Check:
Remaining Services:
------------------
Remaining Files:
---------------
Backups Folder: - C:\SDFix\backups\backups.zip
Checking For Files with Hidden Attributes :
C:\WINNT\system32\cbabc.dll
C:\WINNT\system32\iiihi.dll
C:\WINNT\system32\dezyfgbm.exe
C:\WINNT\system32\mawgayw.exe
C:\WINNT\system32\qnyyigc.exe
C:\WINNT\system32\xjwzc.exe
Finished
_________________________________________________
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le lun. 02/04/2007 a 2:29:32,14
Microsoft Windows 2000 [Version 5.00.2195]
*** Suppression de fichiers sur C:
*** Suppression des fichiers dans C:\WINNT\
tentative de suppression de C:\WINNT\NDNuninstall?_??.exe
*** Suppression des fichiers dans C:\WINNT\system32
tentative de suppression de C:\WINNT\system32\eraseme_?????.exe
tentative de suppression de C:\WINNT\system32\i
tentative de suppression de C:\WINNT\system32\setup_?????.exe
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
___________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 02:43:56, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.142 86.64.145.142
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
________________________________
Alors, docteur, est-ce grave? (le PC, bien sûr, pour moi, je sais que c'est irrécupérable!)
le reste s'est je crois bien déroulé, et voici les rapports demandés:
SDFix: Version 1.75
Run by Administrateur - lun. 02/04/2007 - 2:33:18,93
Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Name:
MicroSoft Media Tools
ServiceHost
Windows Update Service
wins
ImagePath:
"C:\WINNT\MSmedia.exe"
"C:\WINNT\shost.exe"
"C:\WINNT\services.exe"
"C:\WINNT\system32\winscntrl.exe"
MicroSoft Media Tools Deleted
ServiceHost Deleted
Windows Update Service Deleted
wins Deleted
Restoring Windows Registry Entries
Restoring Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Below files will be copied to Backups folder then removed:
C:\WINNT\SYSTEM32\ODLK.EXE - Deleted
C:\WINNT\system32\TFTP1004 - Deleted
C:\WINNT\system32\TFTP1024 - Deleted
C:\WINNT\system32\TFTP1032 - Deleted
C:\WINNT\system32\TFTP1036 - Deleted
C:\WINNT\system32\TFTP1072 - Deleted
C:\WINNT\system32\TFTP1080 - Deleted
C:\WINNT\system32\TFTP1096 - Deleted
C:\WINNT\system32\TFTP1112 - Deleted
C:\WINNT\system32\TFTP1116 - Deleted
C:\WINNT\system32\TFTP1124 - Deleted
C:\WINNT\system32\TFTP1136 - Deleted
C:\WINNT\system32\TFTP1140 - Deleted
C:\WINNT\system32\TFTP1168 - Deleted
C:\WINNT\system32\TFTP1184 - Deleted
C:\WINNT\system32\TFTP1200 - Deleted
C:\WINNT\system32\TFTP1236 - Deleted
C:\WINNT\system32\TFTP1244 - Deleted
C:\WINNT\system32\TFTP1596 - Deleted
C:\WINNT\system32\TFTP2236 - Deleted
C:\WINNT\system32\TFTP2240 - Deleted
C:\WINNT\system32\TFTP2288 - Deleted
C:\WINNT\system32\TFTP276 - Deleted
C:\WINNT\system32\TFTP308 - Deleted
C:\WINNT\system32\TFTP312 - Deleted
C:\WINNT\system32\TFTP3292 - Deleted
C:\WINNT\system32\TFTP3324 - Deleted
C:\WINNT\system32\TFTP3496 - Deleted
C:\WINNT\system32\TFTP3536 - Deleted
C:\WINNT\system32\TFTP3552 - Deleted
C:\WINNT\system32\TFTP3556 - Deleted
C:\WINNT\system32\TFTP3680 - Deleted
C:\WINNT\system32\TFTP3864 - Deleted
C:\WINNT\system32\TFTP388 - Deleted
C:\WINNT\system32\TFTP428 - Deleted
C:\WINNT\system32\TFTP4436 - Deleted
C:\WINNT\system32\TFTP472 - Deleted
C:\WINNT\system32\TFTP484 - Deleted
C:\WINNT\system32\TFTP4944 - Deleted
C:\WINNT\system32\TFTP5856 - Deleted
C:\WINNT\system32\TFTP628 - Deleted
C:\WINNT\system32\TFTP652 - Deleted
C:\WINNT\system32\TFTP712 - Deleted
C:\WINNT\system32\TFTP756 - Deleted
C:\WINNT\system32\TFTP880 - Deleted
C:\WINNT\system32\TFTP884 - Deleted
C:\WINNT\system32\TFTP892 - Deleted
C:\WINNT\system32\TFTP908 - Deleted
C:\WINNT\system32\TFTP936 - Deleted
C:\WINNT\system32\TFTP976 - Deleted
C:\WINNT\system32\TFTP988 - Deleted
C:\WINNT\system32\TFTP992 - Deleted
ADS Check:
C:\WINNT\system32
No streams found.
Final Check:
Remaining Services:
------------------
Remaining Files:
---------------
Backups Folder: - C:\SDFix\backups\backups.zip
Checking For Files with Hidden Attributes :
C:\WINNT\system32\cbabc.dll
C:\WINNT\system32\iiihi.dll
C:\WINNT\system32\dezyfgbm.exe
C:\WINNT\system32\mawgayw.exe
C:\WINNT\system32\qnyyigc.exe
C:\WINNT\system32\xjwzc.exe
Finished
_________________________________________________
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le lun. 02/04/2007 a 2:29:32,14
Microsoft Windows 2000 [Version 5.00.2195]
*** Suppression de fichiers sur C:
*** Suppression des fichiers dans C:\WINNT\
tentative de suppression de C:\WINNT\NDNuninstall?_??.exe
*** Suppression des fichiers dans C:\WINNT\system32
tentative de suppression de C:\WINNT\system32\eraseme_?????.exe
tentative de suppression de C:\WINNT\system32\i
tentative de suppression de C:\WINNT\system32\setup_?????.exe
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
___________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 02:43:56, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.142 86.64.145.142
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
________________________________
Alors, docteur, est-ce grave? (le PC, bien sûr, pour moi, je sais que c'est irrécupérable!)
Bonjour
![:pt1cable:]( ":pt1cable:")
SDFix a fait un beau ménage.
Mais il montre d'autres infections possibles.
$ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
$ Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.
Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
$ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
SDFix a fait un beau ménage.
Mais il montre d'autres infections possibles.
$ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
$ Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.
Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
$ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
Bon ben ça commence bien.... J'ai téléchargé Blacklight sur mon bureau à l'adresse indiquée, et quand je clique dessus mon ordinateur m'insulte en anglais:
"F-Secure Blacklight could not acquire necessary privileges (SeDebugPrivilege).
-Your computer settings may prevent acquiring these privileges.
-A malicious program might have disabled these privileges."
Je fais quand même le reste où le "malicious program" est-il vraiment si "malicious" que ça?
[edit]
Bon j'ai fait le reste.
Rapport SmitfraudFix:
SmitFraudFix v2.162
Rapport fait à 14:27:17,39, lun. 02/04/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINNT\System32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
__________________________________________________
VundoFix V6.3.19
Checking Java version...
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Scan started at 14:30:08 02/04/2007
Listing files found while scanning....
C:\WINNT\system32\bkrpseck.exe
C:\WINNT\system32\cbabc.bak1
C:\WINNT\system32\cbabc.bak2
C:\WINNT\System32\cbabc.dll
C:\WINNT\system32\cbabc.ini
C:\WINNT\system32\ihiii.ini
C:\WINNT\System32\iiihi.dll
C:\WINNT\system32\mljifge.dll
C:\WINNT\system32\rqrspop.dll
C:\WINNT\system32\xxywxyx.dll
Beginning removal...
Attempting to delete C:\WINNT\system32\bkrpseck.exe
C:\WINNT\system32\bkrpseck.exe Has been deleted!
Attempting to delete C:\WINNT\system32\cbabc.bak1
C:\WINNT\system32\cbabc.bak1 Has been deleted!
Attempting to delete C:\WINNT\system32\cbabc.bak2
C:\WINNT\system32\cbabc.bak2 Has been deleted!
Attempting to delete C:\WINNT\System32\cbabc.dll
C:\WINNT\System32\cbabc.dll Has been deleted!
Attempting to delete C:\WINNT\system32\cbabc.ini
C:\WINNT\system32\cbabc.ini Has been deleted!
Attempting to delete C:\WINNT\system32\ihiii.ini
C:\WINNT\system32\ihiii.ini Has been deleted!
Attempting to delete C:\WINNT\System32\iiihi.dll
C:\WINNT\System32\iiihi.dll Has been deleted!
Attempting to delete C:\WINNT\system32\mljifge.dll
C:\WINNT\system32\mljifge.dll Has been deleted!
Attempting to delete C:\WINNT\system32\rqrspop.dll
C:\WINNT\system32\rqrspop.dll Has been deleted!
Attempting to delete C:\WINNT\system32\xxywxyx.dll
C:\WINNT\system32\xxywxyx.dll Has been deleted!
Performing Repairs to the registry.
Done!
__________________________________________
Juste pour info, avec Vundofix, lorsque j'ai cliqué sur "yes" pour supprimer les fichiers, le message suivant s'est affiché:
"impossible d'importer c:\VundoFix.reg: une erreur imputable au disque ou au système de fichiers s'est produite lors de l'ouverture de ce fichier"
Mais après, j'ai cliqué sur ok, et l'ordinateur a redémarré......
___________________________________________
Enfin:
Logfile of HijackThis v1.99.1
Scan saved at 14:50:06, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - C:\WINNT\System32\mljifge.dll (file missing)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - C:\WINNT\System32\cbabc.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 86.64.145.145 84.103.237.145
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\i8060idse8060.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
___________________________________
Voilà.....
"F-Secure Blacklight could not acquire necessary privileges (SeDebugPrivilege).
-Your computer settings may prevent acquiring these privileges.
-A malicious program might have disabled these privileges."
Je fais quand même le reste où le "malicious program" est-il vraiment si "malicious" que ça?
[edit]
Bon j'ai fait le reste.
Rapport SmitfraudFix:
SmitFraudFix v2.162
Rapport fait à 14:27:17,39, lun. 02/04/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINNT\System32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
__________________________________________________
VundoFix V6.3.19
Checking Java version...
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Scan started at 14:30:08 02/04/2007
Listing files found while scanning....
C:\WINNT\system32\bkrpseck.exe
C:\WINNT\system32\cbabc.bak1
C:\WINNT\system32\cbabc.bak2
C:\WINNT\System32\cbabc.dll
C:\WINNT\system32\cbabc.ini
C:\WINNT\system32\ihiii.ini
C:\WINNT\System32\iiihi.dll
C:\WINNT\system32\mljifge.dll
C:\WINNT\system32\rqrspop.dll
C:\WINNT\system32\xxywxyx.dll
Beginning removal...
Attempting to delete C:\WINNT\system32\bkrpseck.exe
C:\WINNT\system32\bkrpseck.exe Has been deleted!
Attempting to delete C:\WINNT\system32\cbabc.bak1
C:\WINNT\system32\cbabc.bak1 Has been deleted!
Attempting to delete C:\WINNT\system32\cbabc.bak2
C:\WINNT\system32\cbabc.bak2 Has been deleted!
Attempting to delete C:\WINNT\System32\cbabc.dll
C:\WINNT\System32\cbabc.dll Has been deleted!
Attempting to delete C:\WINNT\system32\cbabc.ini
C:\WINNT\system32\cbabc.ini Has been deleted!
Attempting to delete C:\WINNT\system32\ihiii.ini
C:\WINNT\system32\ihiii.ini Has been deleted!
Attempting to delete C:\WINNT\System32\iiihi.dll
C:\WINNT\System32\iiihi.dll Has been deleted!
Attempting to delete C:\WINNT\system32\mljifge.dll
C:\WINNT\system32\mljifge.dll Has been deleted!
Attempting to delete C:\WINNT\system32\rqrspop.dll
C:\WINNT\system32\rqrspop.dll Has been deleted!
Attempting to delete C:\WINNT\system32\xxywxyx.dll
C:\WINNT\system32\xxywxyx.dll Has been deleted!
Performing Repairs to the registry.
Done!
__________________________________________
Juste pour info, avec Vundofix, lorsque j'ai cliqué sur "yes" pour supprimer les fichiers, le message suivant s'est affiché:
"impossible d'importer c:\VundoFix.reg: une erreur imputable au disque ou au système de fichiers s'est produite lors de l'ouverture de ce fichier"
Mais après, j'ai cliqué sur ok, et l'ordinateur a redémarré......
___________________________________________
Enfin:
Logfile of HijackThis v1.99.1
Scan saved at 14:50:06, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - C:\WINNT\System32\mljifge.dll (file missing)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - C:\WINNT\System32\cbabc.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 86.64.145.145 84.103.237.145
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\i8060idse8060.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
___________________________________
Voilà.....
Bonsoir
Cela progresse, Vundofix a fait un beau ménage.
Supprime Smitfraudfix, il ne sert à rien.
On va restaurer tes droits et nettoyer une éventuelle infection Look2me visible avec cette ligne
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\i8060idse8060.dll (file missing)
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7
* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
* Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
#Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
Recommence aussi BlackLight, pour poster le rapport.
Cela progresse, Vundofix a fait un beau ménage.
Supprime Smitfraudfix, il ne sert à rien.
On va restaurer tes droits et nettoyer une éventuelle infection Look2me visible avec cette ligne
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\i8060idse8060.dll (file missing)
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7
* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
* Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
#Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
Recommence aussi BlackLight, pour poster le rapport.
Bonsoir! ![:hello:]( ":hello:")
(ou bonjour, c'est selon)
Alors voilà (cette fois-ci, tout s'est déroulé comme prévu):
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 03/04/2007 01:16:05
Infected! C:\WINNT\system32\i8060idse8060.dll
Infected! C:\WINNT\system32\f80o0id3e80.dll
Attempting to delete infected files...
Attempting to delete: C:\WINNT\system32\f80o0id3e80.dll
C:\WINNT\system32\f80o0id3e80.dll Deleted successfully!
Making registry repairs.
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{768CA0C1-D31E-4165-A475-47034F656AE9}"
HKCR\Clsid\{768CA0C1-D31E-4165-A475-47034F656AE9}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6E47A5E5-B045-44A7-80A0-74F4D6F496EE}"
HKCR\Clsid\{6E47A5E5-B045-44A7-80A0-74F4D6F496EE}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2942F04D-4B23-44DF-B637-7553E9209128}"
HKCR\Clsid\{2942F04D-4B23-44DF-B637-7553E9209128}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C52AEF66-1B2A-41DC-B34B-5903E940B30E}"
HKCR\Clsid\{C52AEF66-1B2A-41DC-B34B-5903E940B30E}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{923D4E9E-4A16-461E-B243-4B24CF0E5E2C}"
HKCR\Clsid\{923D4E9E-4A16-461E-B243-4B24CF0E5E2C}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C64E78F2-6650-4AFB-86DD-4104A55435BA}"
HKCR\Clsid\{C64E78F2-6650-4AFB-86DD-4104A55435BA}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{4D63FCD8-591E-4BDE-9D7C-79AA9E26E593}"
HKCR\Clsid\{4D63FCD8-591E-4BDE-9D7C-79AA9E26E593}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{94F277E9-CD58-4D0E-8935-0784C718849E}"
HKCR\Clsid\{94F277E9-CD58-4D0E-8935-0784C718849E}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{02452B3F-FB82-4D78-B7BA-6EF6AF4DB3A2}"
HKCR\Clsid\{02452B3F-FB82-4D78-B7BA-6EF6AF4DB3A2}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{55555456-68DF-4B9B-8455-2315DBF6DF28}"
HKCR\Clsid\{55555456-68DF-4B9B-8455-2315DBF6DF28}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{35CF2065-1980-433E-8041-0DEBAA218DBD}"
HKCR\Clsid\{35CF2065-1980-433E-8041-0DEBAA218DBD}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{646A417A-8E2A-4CB7-9E18-9485316D0222}"
HKCR\Clsid\{646A417A-8E2A-4CB7-9E18-9485316D0222}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{191CBB86-E60E-40DB-B3E0-CA978B64AA52}"
HKCR\Clsid\{191CBB86-E60E-40DB-B3E0-CA978B64AA52}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{77189E93-DA06-44AE-B9C9-ABF40C6A299A}"
HKCR\Clsid\{77189E93-DA06-44AE-B9C9-ABF40C6A299A}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{DDFD8F64-FD72-4B71-943F-F839CF9DB3EA}"
HKCR\Clsid\{DDFD8F64-FD72-4B71-943F-F839CF9DB3EA}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BDC4A8DF-CFCD-49BE-BFAF-C313B518E118}"
HKCR\Clsid\{BDC4A8DF-CFCD-49BE-BFAF-C313B518E118}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F2EADF0F-B685-48A8-969A-21527B20B5AD}"
HKCR\Clsid\{F2EADF0F-B685-48A8-969A-21527B20B5AD}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{42D0D259-A3FC-4AC5-BDB8-034B10FB5DA2}"
HKCR\Clsid\{42D0D259-A3FC-4AC5-BDB8-034B10FB5DA2}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6861428C-B92F-409E-91B7-E2EDE493E24B}"
HKCR\Clsid\{6861428C-B92F-409E-91B7-E2EDE493E24B}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{81400FF4-1913-449F-8373-3B54BF2447A4}"
HKCR\Clsid\{81400FF4-1913-449F-8373-3B54BF2447A4}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{769E0BBE-A481-49DA-A250-9EDB7F2EE110}"
HKCR\Clsid\{769E0BBE-A481-49DA-A250-9EDB7F2EE110}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administrateurs - Succeeded
__________________________________________________
04/03/07 01:21:48 [Info]: BlackLight Engine 1.0.61 initialized
04/03/07 01:21:48 [Info]: OS: 5.0 build 2195 (Service Pack 2)
04/03/07 01:21:48 [Note]: 7019 4
04/03/07 01:21:48 [Note]: 7005 0
04/03/07 01:21:52 [Note]: 7006 0
04/03/07 01:21:52 [Note]: 7011 784
04/03/07 01:21:53 [Note]: 7026 0
04/03/07 01:21:53 [Note]: 7026 0
04/03/07 01:21:59 [Note]: FSRAW library version 1.7.1021
04/03/07 01:24:52 [Note]: 7007 0
__________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 01:25:17, on 03/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - (no file)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Ca m'a l'air bien compliqué tout ça, mais bon, moi je me contente d'appliquer!
(ou bonjour, c'est selon)Alors voilà (cette fois-ci, tout s'est déroulé comme prévu):
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 03/04/2007 01:16:05
Infected! C:\WINNT\system32\i8060idse8060.dll
Infected! C:\WINNT\system32\f80o0id3e80.dll
Attempting to delete infected files...
Attempting to delete: C:\WINNT\system32\f80o0id3e80.dll
C:\WINNT\system32\f80o0id3e80.dll Deleted successfully!
Making registry repairs.
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{768CA0C1-D31E-4165-A475-47034F656AE9}"
HKCR\Clsid\{768CA0C1-D31E-4165-A475-47034F656AE9}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6E47A5E5-B045-44A7-80A0-74F4D6F496EE}"
HKCR\Clsid\{6E47A5E5-B045-44A7-80A0-74F4D6F496EE}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2942F04D-4B23-44DF-B637-7553E9209128}"
HKCR\Clsid\{2942F04D-4B23-44DF-B637-7553E9209128}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C52AEF66-1B2A-41DC-B34B-5903E940B30E}"
HKCR\Clsid\{C52AEF66-1B2A-41DC-B34B-5903E940B30E}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{923D4E9E-4A16-461E-B243-4B24CF0E5E2C}"
HKCR\Clsid\{923D4E9E-4A16-461E-B243-4B24CF0E5E2C}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C64E78F2-6650-4AFB-86DD-4104A55435BA}"
HKCR\Clsid\{C64E78F2-6650-4AFB-86DD-4104A55435BA}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{4D63FCD8-591E-4BDE-9D7C-79AA9E26E593}"
HKCR\Clsid\{4D63FCD8-591E-4BDE-9D7C-79AA9E26E593}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{94F277E9-CD58-4D0E-8935-0784C718849E}"
HKCR\Clsid\{94F277E9-CD58-4D0E-8935-0784C718849E}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{02452B3F-FB82-4D78-B7BA-6EF6AF4DB3A2}"
HKCR\Clsid\{02452B3F-FB82-4D78-B7BA-6EF6AF4DB3A2}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{55555456-68DF-4B9B-8455-2315DBF6DF28}"
HKCR\Clsid\{55555456-68DF-4B9B-8455-2315DBF6DF28}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{35CF2065-1980-433E-8041-0DEBAA218DBD}"
HKCR\Clsid\{35CF2065-1980-433E-8041-0DEBAA218DBD}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{646A417A-8E2A-4CB7-9E18-9485316D0222}"
HKCR\Clsid\{646A417A-8E2A-4CB7-9E18-9485316D0222}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{191CBB86-E60E-40DB-B3E0-CA978B64AA52}"
HKCR\Clsid\{191CBB86-E60E-40DB-B3E0-CA978B64AA52}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{77189E93-DA06-44AE-B9C9-ABF40C6A299A}"
HKCR\Clsid\{77189E93-DA06-44AE-B9C9-ABF40C6A299A}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{DDFD8F64-FD72-4B71-943F-F839CF9DB3EA}"
HKCR\Clsid\{DDFD8F64-FD72-4B71-943F-F839CF9DB3EA}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BDC4A8DF-CFCD-49BE-BFAF-C313B518E118}"
HKCR\Clsid\{BDC4A8DF-CFCD-49BE-BFAF-C313B518E118}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F2EADF0F-B685-48A8-969A-21527B20B5AD}"
HKCR\Clsid\{F2EADF0F-B685-48A8-969A-21527B20B5AD}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{42D0D259-A3FC-4AC5-BDB8-034B10FB5DA2}"
HKCR\Clsid\{42D0D259-A3FC-4AC5-BDB8-034B10FB5DA2}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6861428C-B92F-409E-91B7-E2EDE493E24B}"
HKCR\Clsid\{6861428C-B92F-409E-91B7-E2EDE493E24B}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{81400FF4-1913-449F-8373-3B54BF2447A4}"
HKCR\Clsid\{81400FF4-1913-449F-8373-3B54BF2447A4}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{769E0BBE-A481-49DA-A250-9EDB7F2EE110}"
HKCR\Clsid\{769E0BBE-A481-49DA-A250-9EDB7F2EE110}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administrateurs - Succeeded
__________________________________________________
04/03/07 01:21:48 [Info]: BlackLight Engine 1.0.61 initialized
04/03/07 01:21:48 [Info]: OS: 5.0 build 2195 (Service Pack 2)
04/03/07 01:21:48 [Note]: 7019 4
04/03/07 01:21:48 [Note]: 7005 0
04/03/07 01:21:52 [Note]: 7006 0
04/03/07 01:21:52 [Note]: 7011 784
04/03/07 01:21:53 [Note]: 7026 0
04/03/07 01:21:53 [Note]: 7026 0
04/03/07 01:21:59 [Note]: FSRAW library version 1.7.1021
04/03/07 01:24:52 [Note]: 7007 0
__________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 01:25:17, on 03/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - (no file)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Ca m'a l'air bien compliqué tout ça, mais bon, moi je me contente d'appliquer!
Bonsoir
Look2me Destroyer a supprimé des fichiers et restauré tes droits d'administrateur.
BlackLight n'a rien trouvé.
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
AVG Anti-Spyware
http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - (no file)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/ga [...] /ct2_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/ga [...] ltt3_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/ga [...] /ht1_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/ga [...] /pt3_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/ga [...] /rt0_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.ya [...] 040510.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"Windows Task Scheduler" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINNT\shtasks.exe " / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\WINNT\shtasks.exe
6 Lance le nettoyage avec CCleaner.
7 Lance AVG Anti-Spyware.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware
Look2me Destroyer a supprimé des fichiers et restauré tes droits d'administrateur.
BlackLight n'a rien trouvé.
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
AVG Anti-Spyware
http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - (no file)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/ga [...] /ct2_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/ga [...] ltt3_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/ga [...] /ht1_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/ga [...] /pt3_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/ga [...] /rt0_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.ya [...] 040510.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"Windows Task Scheduler" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINNT\shtasks.exe " / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\WINNT\shtasks.exe
6 Lance le nettoyage avec CCleaner.
7 Lance AVG Anti-Spyware.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware
Bonsoir,
Avant de faire des bêtises, j'aurais quelques questions à te poser si ça ne te dérange pas trop:
j'ai déjà CCleaner, je le télécharge quand même?
Ensuite, quand je serai en mode sans échec, après HijackThis, tu dis:
mais je pense que ces fenêtres ne seront pas ouvertes? si?
Bref, ensuite:
"Windows Task Scheduler" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\ETC.... " / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
Je double clique sur la ligne "Windows taxk Scheduler" c'est ça?
Pour l'étape 6:
Supprimer les fichiers/dossiers incriminés , c'est à partir de la fenêtre où je serai ou il faut que je les cherche?
C'est normal qu'il n'y aie pas d'étapes 4 et 5 dans ton post?
Et enfin, vu que je suis très bête et ridicule, soyons fous, ridiculisons nous à fond:![:o]( ":o")
je crois que quand je suis en mode sans echec ma souris ne fonctionne pas (c'était comme ça la dernière fois) mais je pense que je pourrai me dépatouiller avec le clavier, non??
Ok, on ne se moque pas trop.....
Avant de faire des bêtises, j'aurais quelques questions à te poser si ça ne te dérange pas trop:
j'ai déjà CCleaner, je le télécharge quand même?
Ensuite, quand je serai en mode sans échec, après HijackThis, tu dis:
Citation :
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » mais je pense que ces fenêtres ne seront pas ouvertes? si?
Bref, ensuite:
Citation :
Dans la liste des services, cherche et sélectionne "Windows Task Scheduler" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\ETC.... " / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
Je double clique sur la ligne "Windows taxk Scheduler" c'est ça?
Pour l'étape 6:
Supprimer les fichiers/dossiers incriminés , c'est à partir de la fenêtre où je serai ou il faut que je les cherche?
C'est normal qu'il n'y aie pas d'étapes 4 et 5 dans ton post?
Et enfin, vu que je suis très bête et ridicule, soyons fous, ridiculisons nous à fond:
je crois que quand je suis en mode sans echec ma souris ne fonctionne pas (c'était comme ça la dernière fois) mais je pense que je pourrai me dépatouiller avec le clavier, non??Ok, on ne se moque pas trop.....
Bonsoir
Pas la peine de télécharger CCleaner si tu l'as déja.
Pour Hijackthis, c'est parceque c'est un texte tout prêt. Cela ne te concerne pas ici.
Je double clique sur la ligne "Windows Task Scheduler" ---> Oui
J'ai remis en ordre les numéros de la manip.
Pour l'étape 5 (anciennement 6), tu cherches le fichier sur le PC.
Si la souris ne fonctionne pas, tu peux utiliser le clavier assez facilement.
A suivre
Pas la peine de télécharger CCleaner si tu l'as déja.
Pour Hijackthis, c'est parceque c'est un texte tout prêt. Cela ne te concerne pas ici.
Je double clique sur la ligne "Windows Task Scheduler" ---> Oui
J'ai remis en ordre les numéros de la manip.
Pour l'étape 5 (anciennement 6), tu cherches le fichier sur le PC.
Si la souris ne fonctionne pas, tu peux utiliser le clavier assez facilement.
A suivre
re!
J'ai tout effectué dans l'ordre. Tout c'est bien passé jusqu'à l'étape 7: impossible de maîtriser AVG Anti-Spyware juste avec le clavier (mode sans echec)! il m'a dit: "AVG Anti-Spyware 7.5 Exception. Something bad happened in the application. Error diagnostic file saved to 'C:\ProgramFiles\Grisoft\AVGAnti-Spyware7.5\avgas.err'
J'ai trouvé le fichier avgas.err et pas loin un doc texte "error" que je te mets ici juste au cas où:
_________________________________________________
Error: failed to connect to server, Value: 0000274C, Position: .\DownloadHttp.cpp, 304
Error: failed to create socket, Value: 00002742, Position: .\DownloadHttp.cpp, 251
Error: failed to connect to server, Value: 00002741, Position: .\DownloadHttp.cpp, 304
__________________________________________________
Du coup j'ai redémarré normalement, et ai quand même fait ce que tu avais écrit. J'espère que ça ira quand même.
Voici les rapports:
___________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 23:47:26, on 04/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 86.64.145.145 84.103.237.145
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
____________________________________________________
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 23:33:19 04/04/2007
+ Résultat de l'analyse:
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\How To Uninstall.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore - The Search Accelerator.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore Tour.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\mljifge.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\rqrspop.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\xxywxyx.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\kzzu\kzzud\vocabulary -> Downloader.TSUpdate.j : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\dezyfgbm.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\mawgayw.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\qnyyigc.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\xjwzc.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\cHJpdmU\wJLDxAo.vbs -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
Fin du rapport
______________________________________________________
Bon, on les a tous éliminés où il reste des irréductibles?
En tout cas je voulais te remercier du temps que tu prends pour aider une quiche comme moi!![:pt1cable:]( ":pt1cable:")
J'ai tout effectué dans l'ordre. Tout c'est bien passé jusqu'à l'étape 7: impossible de maîtriser AVG Anti-Spyware juste avec le clavier (mode sans echec)! il m'a dit: "AVG Anti-Spyware 7.5 Exception. Something bad happened in the application. Error diagnostic file saved to 'C:\ProgramFiles\Grisoft\AVGAnti-Spyware7.5\avgas.err'
J'ai trouvé le fichier avgas.err et pas loin un doc texte "error" que je te mets ici juste au cas où:
_________________________________________________
Error: failed to connect to server, Value: 0000274C, Position: .\DownloadHttp.cpp, 304
Error: failed to create socket, Value: 00002742, Position: .\DownloadHttp.cpp, 251
Error: failed to connect to server, Value: 00002741, Position: .\DownloadHttp.cpp, 304
__________________________________________________
Du coup j'ai redémarré normalement, et ai quand même fait ce que tu avais écrit. J'espère que ça ira quand même.
Voici les rapports:
___________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 23:47:26, on 04/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 86.64.145.145 84.103.237.145
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
____________________________________________________
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 23:33:19 04/04/2007
+ Résultat de l'analyse:
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\How To Uninstall.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore - The Search Accelerator.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore Tour.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\mljifge.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\rqrspop.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\xxywxyx.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\kzzu\kzzud\vocabulary -> Downloader.TSUpdate.j : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\dezyfgbm.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\mawgayw.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\qnyyigc.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\xjwzc.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\cHJpdmU\wJLDxAo.vbs -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
Fin du rapport
______________________________________________________
Bon, on les a tous éliminés où il reste des irréductibles?
En tout cas je voulais te remercier du temps que tu prends pour aider une quiche comme moi!
Bonjour
Du ménage a été fait. On vérifie ce qu'il reste.
Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer.
http://webscanner.kaspersky.fr/
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
Du ménage a été fait. On vérifie ce qu'il reste.
Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer.
http://webscanner.kaspersky.fr/
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, April 05, 2007 10:09:25 PM
Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 2 (Build 2195)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 5/04/2007
Enregistrements dans la base antivirus Kaspersky : 275434
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
Statistiques de l'analyse:
Total d'objets analysés: 14902
Nombre de virus trouvés: 7
Nombre d'objets infectés: 11 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:38:29
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012007040520070406\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Avg7\Log\emc.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe/data0002/data0006 Infecté : Trojan-Dropper.Win32.VB.kk ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe/data0002 Infecté : Trojan-Dropper.Win32.VB.kk ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0009.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.n ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0010.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.p ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0011.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.l ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0012.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.f ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe WiseSFX: infecté - 4 ignoré
C:\WINNT\CSC\00000001 L'objet est verrouillé ignoré
C:\WINNT\Debug\ipsecpa.log L'objet est verrouillé ignoré
C:\WINNT\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINNT\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\PRIVE-JOD65G8WC.ldb L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINNT\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINNT\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINNT\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\default L'objet est verrouillé ignoré
C:\WINNT\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SAM L'objet est verrouillé ignoré
C:\WINNT\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINNT\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\software L'objet est verrouillé ignoré
C:\WINNT\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\system L'objet est verrouillé ignoré
C:\WINNT\system32\config\SYSTEM.ALT L'objet est verrouillé ignoré
C:\WINNT\system32\download.dat Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINNT\system32\mdn.cpp Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINNT\system32\vbnet.ini Infecté : Trojan-Downloader.BAT.Ftp.cg ignoré
C:\WINNT\Temp\ZLT032aa.TMP L'objet est verrouillé ignoré
C:\WINNT\Temp\ZLT032d4.TMP L'objet est verrouillé ignoré
Analyse terminée.
KASPERSKY ON-LINE SCANNER REPORT
Thursday, April 05, 2007 10:09:25 PM
Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 2 (Build 2195)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 5/04/2007
Enregistrements dans la base antivirus Kaspersky : 275434
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
Statistiques de l'analyse:
Total d'objets analysés: 14902
Nombre de virus trouvés: 7
Nombre d'objets infectés: 11 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:38:29
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012007040520070406\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Avg7\Log\emc.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe/data0002/data0006 Infecté : Trojan-Dropper.Win32.VB.kk ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe/data0002 Infecté : Trojan-Dropper.Win32.VB.kk ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0009.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.n ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0010.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.p ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0011.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.l ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0012.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.f ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe WiseSFX: infecté - 4 ignoré
C:\WINNT\CSC\00000001 L'objet est verrouillé ignoré
C:\WINNT\Debug\ipsecpa.log L'objet est verrouillé ignoré
C:\WINNT\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINNT\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\PRIVE-JOD65G8WC.ldb L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINNT\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINNT\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINNT\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\default L'objet est verrouillé ignoré
C:\WINNT\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SAM L'objet est verrouillé ignoré
C:\WINNT\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINNT\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\software L'objet est verrouillé ignoré
C:\WINNT\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\system L'objet est verrouillé ignoré
C:\WINNT\system32\config\SYSTEM.ALT L'objet est verrouillé ignoré
C:\WINNT\system32\download.dat Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINNT\system32\mdn.cpp Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINNT\system32\vbnet.ini Infecté : Trojan-Downloader.BAT.Ftp.cg ignoré
C:\WINNT\Temp\ZLT032aa.TMP L'objet est verrouillé ignoré
C:\WINNT\Temp\ZLT032d4.TMP L'objet est verrouillé ignoré
Analyse terminée.
Re
A priori je n'ai plus de problèmes (plus de fenêtres intempestives....) et c'est super.
Par contre quand je fais une analyse Spybot, il me trouve toujours commande service avec 2 fichiers qu'il arrive pas à supprimer:
Command Service: Réglages (Clé du registre, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Command Service: Réglages (Clé du registre, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
Est-ce normal?
A priori je n'ai plus de problèmes (plus de fenêtres intempestives....) et c'est super.
Par contre quand je fais une analyse Spybot, il me trouve toujours commande service avec 2 fichiers qu'il arrive pas à supprimer:
Command Service: Réglages (Clé du registre, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Command Service: Réglages (Clé du registre, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
Est-ce normal?
Bonjour
Télécharge Delcmdservice (par Marckie)
http://users.telenet.be/marcvn/tools/delcmdservice.zip
Sauvegarde-le sur ton Bureau.
* En extraire (dézippe) le contenu sur ton Bureau (un dossier nommé delcmdservice)
* Double-clique sur le dossier delcmdservice
* Double-clique sur delreg.bat afin de lancer l'outil
* Redémarre ton PC lorsque l'outil aura complété son travail
* Suite au redémarrage, scan avec HijackThis! et colle le nouveau rapport, dans ta prochaine réponse
Vérifie aussi si Spybot trouve encore quelque chose.
Télécharge Delcmdservice (par Marckie)
http://users.telenet.be/marcvn/tools/delcmdservice.zip
Sauvegarde-le sur ton Bureau.
* En extraire (dézippe) le contenu sur ton Bureau (un dossier nommé delcmdservice)
* Double-clique sur le dossier delcmdservice
* Double-clique sur delreg.bat afin de lancer l'outil
* Redémarre ton PC lorsque l'outil aura complété son travail
* Suite au redémarrage, scan avec HijackThis! et colle le nouveau rapport, dans ta prochaine réponse
Vérifie aussi si Spybot trouve encore quelque chose.
rien sur spybot sur command service. Il reste Avenue A.inc, Blue streak et media plex mais spybot les a éliminés:
Logfile of HijackThis v1.99.1
Scan saved at 20:02:01, on 06/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\System32\internat.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Logfile of HijackThis v1.99.1
Scan saved at 20:02:01, on 06/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\System32\internat.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Hello!
Désolée pour la réponse tardive, le week-end de Pâques, les cloches ne sont pas connectées à internet![:kaola:]( ":kaola:")
![:pt1cable:]( ":pt1cable:")
![:pt1cable:]( ":pt1cable:")
Non, plus de problèmes à priori (bravo!!!!![:bounce:]( ":bounce:")
![:bounce:]( ":bounce:")
)
Juste une dernière question avant de marquer le sujet comme résolu; mon bureau est pas mal encombré maintenant; que puis-je supprimer, et que me conseilles-tu de garder?
Pour info et pour t'éviter de relire tous les posts:
Kaspersky
delcmdservice
hijackthis
SDFix
clean
fsbl
Look2Me-Destroyer
AVG Anti-Spyware
Spybot-Search & Destroy
Vundofix
Merci
Désolée pour la réponse tardive, le week-end de Pâques, les cloches ne sont pas connectées à internet
Non, plus de problèmes à priori (bravo!!!!
)Juste une dernière question avant de marquer le sujet comme résolu; mon bureau est pas mal encombré maintenant; que puis-je supprimer, et que me conseilles-tu de garder?
Pour info et pour t'éviter de relire tous les posts:
Kaspersky
delcmdservice
hijackthis
SDFix
clean
fsbl
Look2Me-Destroyer
AVG Anti-Spyware
Spybot-Search & Destroy
Vundofix
Merci
Bonjour
Après quelques jours de vacances.
Oui, tu peux supprimer tout les outils utilisés pour le nettoyage du PC.
Il faut mieux te protçger.
Passe au SP2.
Et suis quelques conseils sur ce lien
http://forum.pcastuces.com/sujet.asp?f=25&s=25892
Après quelques jours de vacances.
Oui, tu peux supprimer tout les outils utilisés pour le nettoyage du PC.
Il faut mieux te protçger.
Passe au SP2.
Et suis quelques conseils sur ce lien
http://forum.pcastuces.com/sujet.asp?f=25&s=25892
Lassé par la pub ? Créez un compte
- Contenus similaires :
