Votre question

Connexion impossible + Avast supprimé + Windows defender

Tags :
  • Windows defender
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Septembre 2007 23:55:02

Bonjour à tous,
je pense avoir chopé un bon virus assez costaud...
Je vous explique les symptomes dans l'ordre
Quand j'allume mon PC, une fenetre par defaut s'ouvre disant que Windows Defen der est desactivé, ensuite la connexion internet est impossible. L'antivirus Avast a été supprimé... et le plus embettant... quand je clique sur Ajout / Suppresion de programmes, l'ordi reboot tout seul ....
Je sais vraiment pas quoi faire
J'ai commencé a faire le tour des forums mais pas trouvé de soluces, le plus simple est peut etre de vous laisser le log du HiJackThis :
Logfile of HijackThis v1.99.1
Scan saved at 23:38:30, on 14/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\Program Files\mDNSResponder\mDNSResponder.exe
C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSVR.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Expedia\Expedia Fare Alert\ExpediaFareAlert.exe
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UltraMon] "C:\Program Files\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Expedia Fare Alert.lnk = C:\Program Files\Expedia\Expedia Fare Alert\ExpediaFareAlert.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderContro...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by124w.bay124.mail.live.com/mail/resources/MsnPU...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/playe...
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPl...
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89C1C9A7-A8FD-4C0D-AD9C-5A739114300E}: NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Program Files\mDNSResponder\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe

Pouvez vous m'aider ?

Merci d'avance

Ben

Autres pages sur : connexion impossible avast supprime windows defender

15 Septembre 2007 08:27:38


Bonjour :) 

Télécharge Blacklight <- ici

Sauvegarde le sur ton Bureau

Double-clique fsbl.exe et accepte la licence
clique Scan puis sur Next

A la fin du scan, NE TOUCHE A RIEN ! et ferme Blacklight

un rapport est généré sur ton Bureau , il se nomme fsbl.*******.log (les ******* sont des chiffres)

Poste ce rapport
15 Septembre 2007 12:50:24

Bonjour Eric,

merci pour ta reponse rapide !!
ci dessous le log de fsbl

09/15/07 12:37:36 [Info]: BlackLight Engine 1.0.64 initialized
09/15/07 12:37:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/15/07 12:37:36 [Note]: 7019 4
09/15/07 12:37:36 [Note]: 7005 0
09/15/07 12:37:40 [Note]: 7006 0
09/15/07 12:37:40 [Note]: 7011 292
09/15/07 12:37:40 [Note]: 7026 0
09/15/07 12:37:40 [Note]: 7026 0
09/15/07 12:37:40 [Note]: 7024 3
09/15/07 12:37:40 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
09/15/07 12:37:48 [Note]: FSRAW library version 1.7.1022
09/15/07 12:39:24 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
09/15/07 12:39:24 [Note]: 10002 3
09/15/07 12:39:24 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
09/15/07 12:39:24 [Note]: 10002 3
09/15/07 12:39:24 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
09/15/07 12:39:24 [Note]: 10002 3
09/15/07 12:39:24 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
09/15/07 12:39:24 [Note]: 10002 3
09/15/07 12:39:24 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
09/15/07 12:39:24 [Note]: 10002 3
09/15/07 12:39:24 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
09/15/07 12:39:24 [Note]: 10002 3
09/15/07 12:39:24 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
09/15/07 12:39:24 [Note]: 10002 3
09/15/07 12:39:24 [Note]: 10002 2
09/15/07 12:39:24 [Note]: 10002 2
09/15/07 12:42:48 [Note]: 10002 2
09/15/07 12:42:48 [Note]: 10002 2
09/15/07 12:43:22 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
09/15/07 12:43:22 [Note]: 10002 2
09/15/07 12:43:22 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
09/15/07 12:43:22 [Note]: 10002 2
09/15/07 12:43:54 [Note]: 2000 1012
09/15/07 12:48:18 [Note]: 7007 0

Merci

ben
Contenus similaires
16 Septembre 2007 01:12:17


Bonsoir :) 

Tu est bien infecté par le virus Bagle , n'étant pas très présent demain , les consignes qui suivent sont à appliquer dans l'ordre indiqué , si tu bloque sur l'une d'elles ne fait pas les suivantes :

Télécharge EliBaglA <- ici

tu dois télécharger ce fichier sur ton Bureau
Double-clique sur ce fichier pour l'ouvrir

dans le menu déroulant Unidad , vérifie que tu as bien C:\
vérifie aussi que l'option Eliminar Ficheros Automaticamente soit bien cochée ( en bas de la fenêtre )

Maintenant , clique sur le bouton Explorar pour lancer l'analyse
en fin d'analyse , un rapport est généré

poste ce rapport ( c:\infosat.txt )

--------------------------------------------------------------------

Télécharge ComboFix <- ici

Enregistre le sur ton Bureau et pas ailleurs !

Double clique combofix.exe ( le .exe peut ne pas apparaitre )

Pour démarrer , tape 1 puis valide , attend la fin du scan

Un rapport est généré , Copie / Colle le dans ta réponse

Tu peux aussi trouver ce rapport ici : C:\Combofix.txt

-----------------------------------------------------------------

Télécharge SafeBoot.reg <- ici

Double clique dessus et accepte l'inscription des données

( si il apparait uniquement à l'écran ,

clique sur Demarrer / Panneau de configuration / Options des dossiers , choisis l'onglet Affichage , puis décoche cette option :



et enfin clique sur OK

colle l'intégralité du fichier dans le Bloc-notes , enregistre le sur ton Bureau en le nommant SafeBoot.reg et double clique dessus )

---------------------------------------------------------------------------

Redémarre ton PC , supprime les restes de tes Antivirus , puis installe Antivir

Regarde dans cette page : > Sécuriser son ordinateur <

Puis reposte un Hijackthis

Bon courage :) 

16 Septembre 2007 16:58:35

Bonjour Eric

voici dans l'ordre les logs que tu m'as demandée

info sat


Sun Sep 16 10:56:27 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.53
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Renombrado a .VIR
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Sep 16 10:57:43 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

---------------------------------------------------------------
ComboFix

ComboFix 07-09-14.2 - "Benjamin Fouquet" 2007-09-16 11:04:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.617 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\BENJAM~1\ravmonlog
C:\WINDOWS\system32\drivers\srosa.sys

.
((((((((((((((((((((((((( Files Created from 2007-08-16 to 2007-09-16 )))))))))))))))))))))))))))))))
.

2007-09-16 11:03 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-16 10:56 <DIR> d-------- C:\Muestras
2007-09-02 21:25 <DIR> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-09-02 12:07 2,136,064 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2007-09-02 12:07 2,136,064 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2007-09-02 10:32 11,776 --a--c--- C:\WINDOWS\system32\dllcache\chkdsk.exe
2007-09-02 10:32 11,776 --a------ C:\WINDOWS\system32\chkdsk.exe
2007-09-01 17:12 580,518 --a------ C:\WINDOWS\system32\drivers\HIDR.EXE.VIR
2007-09-01 16:48 <DIR> d-------- C:\Program Files\Lavasoft
2007-09-01 16:48 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-09-01 16:48 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-09-01 13:17 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-08-20 03:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-16 03:00 --------- d-------- C:\DOCUME~1\BENJAM~1\APPLIC~1\Skype
2007-09-01 17:16 --------- d-------- C:\Program Files\eMule
2007-08-23 23:13 --------- d-------- C:\Program Files\adslTV
2007-08-13 23:25 --------- d-------- C:\Program Files\M3 GAME Manager
2007-08-12 20:32 --------- d-------- C:\Program Files\Google
2007-08-10 21:29 --------- d-------- C:\Program Files\iTunes
2007-08-10 21:29 --------- d-------- C:\Program Files\iPod
2007-08-10 21:28 --------- d-------- C:\Program Files\QuickTime
2007-08-10 21:26 --------- d-------- C:\Program Files\Common Files\Apple
2007-08-10 21:26 --------- d-------- C:\Program Files\Apple Software Update
2007-08-10 21:25 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-08-01 21:14 --------- d-------- C:\Program Files\Expedia
2007-08-01 21:13 --------- d-------- C:\DOCUME~1\BENJAM~1\APPLIC~1\Expedia
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-20 23:16 --------- d-------- C:\DOCUME~1\BENJAM~1\APPLIC~1\Command & Conquer 3 Tiberium Wars
2007-07-20 23:00 107888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2006-10-02 23:43 17861855 --a------ C:\Program Files\adsl-tv_adsl_tv_1.8_francais_19182.exe
--------- C:\Program Files\Hijackthis Version Française
2006-04-17 15:42:31 56 --sh--r C:\WINDOWS\system32\A5CCB9EABE.sys
2006-04-17 15:42:31 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-05 07:09]
"PRISMSVR.EXE"="C:\WINDOWS\system32\PRISMSVR.exe" [2003-11-20 14:12]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" []
"UltraMon"="C:\Program Files\UltraMon\UltraMon.exe" [2005-05-14 18:23]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-03-15 01:04]
"UpdateManager"="C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01]
"Share-to-Web Namespace Daemon"="c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 10:42]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2006-08-05 14:02]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe" [2005-01-15 13:24]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 18:20]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-31 18:44]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-07-06 18:53]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2004-01-05 07:09]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"ReEXEc"=C:\Documents and Settings\Benjamin Fouquet\Desktop\EliBaglA.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t

C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs\Startup\
Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]
NkbMonitor.exe.lnk - C:\Program Files\Nikon\PictureProject\NkbMonitor.exe [2006-05-19 00:41:58]

C:\DOCUME~1\BENJAM~1\STARTM~1\Programs\Startup\
Expedia Fare Alert.lnk - C:\Program Files\Expedia\Expedia Fare Alert\ExpediaFareAlert.exe [2007-02-12 10:15:00]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R2 UltraMonUtility;UltraMon Utility Driver;\??\C:\Program Files\Common Files\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys
R3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys
R3 DELL_A02;Dell TrueMobile 1300 USB2.0 WLAN Card Driver;C:\WINDOWS\system32\DRIVERS\PRISMA02.sys
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys
S3 cdspacex;cdspacex;C:\WINDOWS\system32\DRIVERS\CDSPACEX.sys
S3 TwoRabts;Two Rabbits Live Bus;C:\WINDOWS\system32\DRIVERS\TwoRabts.sys

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2007-08-31 15:58:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-09-15 23:38:00 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-16 11:04:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"
.
Completion time: 2007-09-16 11:05:30
C:\ComboFix-quarantined-files.txt ... 2007-09-16 11:05
.
--- E O F ---
---------------------------------------------------------------------



et le dernier log de HiJack This

----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 23:38:30, on 14/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\Program Files\mDNSResponder\mDNSResponder.exe
C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSVR.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Expedia\Expedia Fare Alert\ExpediaFareAlert.exe
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UltraMon] "C:\Program Files\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Expedia Fare Alert.lnk = C:\Program Files\Expedia\Expedia Fare Alert\ExpediaFareAlert.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderContro...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by124w.bay124.mail.live.com/mail/resources/MsnPU...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/playe...
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPl...
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89C1C9A7-A8FD-4C0D-AD9C-5A739114300E}: NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Program Files\mDNSResponder\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe

-----------------------------------------------------

j'ai toujours des problemes avec le ajout suppresion de programme qui reboot tout seul quand je clique dessus ...

Merci

Ben
16 Septembre 2007 20:48:31


:hello: 
Tu peux reposter un Nouveau rapport Hijackthis

( celui-ci date du 14 ... )
16 Septembre 2007 22:53:17

Désolé ...

voici le nouveau

Logfile of HijackThis v1.99.1
Scan saved at 22:51:27, on 16/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\mDNSResponder\mDNSResponder.exe
C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSVR.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\WINDOWS\system32\ctfmon.exe
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Expedia\Expedia Fare Alert\ExpediaFareAlert.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UltraMon] "C:\Program Files\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Expedia Fare Alert.lnk = C:\Program Files\Expedia\Expedia Fare Alert\ExpediaFareAlert.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderContro...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by124w.bay124.mail.live.com/mail/resources/MsnPU...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/playe...
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPl...
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89C1C9A7-A8FD-4C0D-AD9C-5A739114300E}: NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Program Files\mDNSResponder\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe

16 Septembre 2007 23:23:33


Télécharge OTMoveIt <- ici

Sauvegarde-le sur ton Bureau

Séléctionne l'encadré ci-dessous , puis Clique droit , puis Copier :

C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidr.exe.vir


Lance maintenant OTMoveIt en double cliquant sur OTMoveIt.exe

Deux cadres apparaissent , clique droit sur le cadre de gauche , puis Coller
Enfin , clique sur MoveIt![/#f]

[#ff0000]Il est possible qu'il te demande de redemarrer , accepte en cliquant sur YES


Poste le rapport généré ( C:\_OTMoveIt\MovedFiles\ <~~ ici , la date de création ! )

---------------------------------------------------------------------

Tu n'as pas réussi à installer Antivir ?

16 Septembre 2007 23:44:42

Voici le rapport

C:\WINDOWS\system32\drivers\hidr.exe moved successfully.
File/Folder C:\WINDOWS\system32\drivers\hidr.exe.vir not found.

Created on 09/16/2007 23:39:52

-------------------------------------

en fait j'avais reussi a installer Avast

apres avoir fait un scan complet il avait trouvé Bagle et l'avait soit disant supprimé...J'ai redemarré et essayé de desinstaller un spyware et en cliquant sur ajout suppression de programme... reboot automatique...

Ben
17 Septembre 2007 19:58:03


Tu peux refaire un scan Blacklight , j'aimerais vérifier quelque chose :) 
17 Septembre 2007 22:44:31

Bonsoir

Dernier rapport fsbl :

09/17/07 22:34:13 [Info]: BlackLight Engine 1.0.64 initialized
09/17/07 22:34:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/17/07 22:34:13 [Note]: 7019 4
09/17/07 22:34:13 [Note]: 7005 0
09/17/07 22:34:25 [Note]: 7006 0
09/17/07 22:34:25 [Note]: 7011 304
09/17/07 22:34:25 [Note]: 7026 0
09/17/07 22:34:25 [Note]: 7026 0
09/17/07 22:34:25 [Note]: 7024 3
09/17/07 22:34:25 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
09/17/07 22:34:29 [Note]: FSRAW library version 1.7.1022
09/17/07 22:35:23 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
09/17/07 22:35:23 [Note]: 10002 3
09/17/07 22:35:23 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
09/17/07 22:35:23 [Note]: 10002 3
09/17/07 22:35:23 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
09/17/07 22:35:23 [Note]: 10002 3
09/17/07 22:35:23 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
09/17/07 22:35:23 [Note]: 10002 3
09/17/07 22:35:23 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
09/17/07 22:35:23 [Note]: 10002 3
09/17/07 22:35:23 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
09/17/07 22:35:23 [Note]: 10002 3
09/17/07 22:35:23 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
09/17/07 22:35:23 [Note]: 10002 3
09/17/07 22:35:23 [Note]: 10002 2
09/17/07 22:35:23 [Note]: 10002 2
09/17/07 22:38:53 [Note]: 10002 2
09/17/07 22:38:53 [Note]: 10002 2
09/17/07 22:39:27 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
09/17/07 22:39:27 [Note]: 10002 2
09/17/07 22:39:27 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
09/17/07 22:39:27 [Note]: 10002 2
09/17/07 22:39:58 [Note]: 2000 1012
09/17/07 22:40:54 [Note]: 7007 0

Merci encore pour ton aide

Ben
17 Septembre 2007 23:31:21


Toujours Bagle :/  , on va employer la force , lis attentivement ce qui suit !

clique sur Demarrer / Panneau de configuration / Options des dossiers , choisis l'onglet Affichage , puis décoche cette option :



et enfin clique sur OK

---------------------------------------------------------------------------

Sélectionne entièrement le contenu du cadre ci-dessous :
Drivers to unload:
srosa


registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\srosa


Files to delete:
c:\WINDOWS\system32\drivers\srosa.sys
c:\WINDOWS\system32\drivers\hidr.exe


folders to delete:
c:\WINDOWS\exefld

Puis clique droit , choisis Copier
Ouvre le Bloc-Note , clique droit , choisis Coller afin de coller le contenu du cadre ci-dessus

Vérifie qu'il ne manque aucune ligne avant de continuer !

Enregistre le fichier sur ton bureau , nomme le remove.txt

Télécharge The Avenger <- ici

Dézippe le contenu de l'archive sur ton bureau et pas ailleurs !
Double-clique sur avenger.exe et clique sur Ok
Sélectionne Load Script from File et clique sur l'icône en forme de dossier
Sélectionne le fichier remove.txt qui est sur ton bureau

Clique sur le feu vert pour lancer le script puis Clique sur Oui

Accepte de redémarrer ton pc

Une fois redémarré , Copie / Colle le rapport généré ( C:\avenger.txt )

ATTENTION , ci vous n'êtes pas la personne concernée , n'appliquez EN AUCUN CAS cette procédure , vous risqueriez d'endommager votre PC !!


---------------------------------------------------------------------------------

Télécharge SafeBoot.reg <- ici

Double clique dessus et accepte l'inscription des données

( si il apparait uniquement à l'écran ,

colle l'intégralité du fichier dans le Bloc-notes , enregistre le sur ton Bureau en le nommant SafeBoot.reg et double clique dessus )

Puis reposte un rapport Blacklight
18 Septembre 2007 00:35:45

Eric,

le rapport Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gcbfmnox

*******************

Script file located at: \??\C:\Program Files\eoelhckq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver srosa unloaded successfully.


Registry key HKLM\SYSTEM\ControlSet001\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\ControlSet001\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\ControlSet001\Services\srosa
Status: 0xc0000034

File c:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File c:\WINDOWS\system32\drivers\hidr.exe deleted successfully.


Folder c:\WINDOWS\exefld not found!
Deletion of folder c:\WINDOWS\exefld failed!

Could not process line:
c:\WINDOWS\exefld
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

--------------------------------------------

et le dernier rapport Blacklight

09/18/07 00:23:38 [Info]: BlackLight Engine 1.0.64 initialized
09/18/07 00:23:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/18/07 00:23:38 [Note]: 7019 4
09/18/07 00:23:38 [Note]: 7005 0
09/18/07 00:23:43 [Note]: 7006 0
09/18/07 00:23:43 [Note]: 7011 296
09/18/07 00:23:43 [Note]: 7026 0
09/18/07 00:23:43 [Note]: 7026 0
09/18/07 00:23:43 [Note]: 7024 3
09/18/07 00:23:43 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
09/18/07 00:23:43 [Note]: 7024 3
09/18/07 00:23:43 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
09/18/07 00:23:47 [Note]: FSRAW library version 1.7.1022
09/18/07 00:24:41 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
09/18/07 00:24:41 [Note]: 10002 3
09/18/07 00:24:41 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
09/18/07 00:24:41 [Note]: 10002 3
09/18/07 00:24:41 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
09/18/07 00:24:41 [Note]: 10002 3
09/18/07 00:24:41 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
09/18/07 00:24:41 [Note]: 10002 3
09/18/07 00:24:41 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
09/18/07 00:24:41 [Note]: 10002 3
09/18/07 00:24:41 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
09/18/07 00:24:41 [Note]: 10002 3
09/18/07 00:24:41 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
09/18/07 00:24:41 [Note]: 10002 3
09/18/07 00:24:41 [Note]: 10002 2
09/18/07 00:24:41 [Note]: 10002 2
09/18/07 00:28:12 [Note]: 10002 2
09/18/07 00:28:12 [Note]: 10002 2
09/18/07 00:28:46 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
09/18/07 00:28:46 [Note]: 10002 2
09/18/07 00:28:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
09/18/07 00:28:46 [Note]: 10002 2
09/18/07 00:29:18 [Note]: 2000 1012
09/18/07 00:32:25 [Note]: 7007 0


Ben
18 Septembre 2007 01:04:59

donne lui un nouveau rapport blacklight
18 Septembre 2007 01:33:55

c'est le dernier en date que j'ai mis au dessus

Je viens d'en faire un nouveau (mais rien n'a changé par rapport au dernier il me semble)

09/18/07 01:23:54 [Info]: BlackLight Engine 1.0.64 initialized
09/18/07 01:23:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/18/07 01:23:54 [Note]: 7019 4
09/18/07 01:23:54 [Note]: 7005 0
09/18/07 01:23:59 [Note]: 7006 0
09/18/07 01:23:59 [Note]: 7011 296
09/18/07 01:23:59 [Note]: 7026 0
09/18/07 01:23:59 [Note]: 7026 0
09/18/07 01:23:59 [Note]: 7024 3
09/18/07 01:23:59 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
09/18/07 01:23:59 [Note]: 7024 3
09/18/07 01:23:59 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
09/18/07 01:24:02 [Note]: FSRAW library version 1.7.1022
09/18/07 01:24:58 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
09/18/07 01:24:58 [Note]: 10002 3
09/18/07 01:24:58 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
09/18/07 01:24:58 [Note]: 10002 3
09/18/07 01:24:58 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
09/18/07 01:24:58 [Note]: 10002 3
09/18/07 01:24:58 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
09/18/07 01:24:58 [Note]: 10002 3
09/18/07 01:24:58 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
09/18/07 01:24:58 [Note]: 10002 3
09/18/07 01:24:58 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
09/18/07 01:24:58 [Note]: 10002 3
09/18/07 01:24:58 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
09/18/07 01:24:58 [Note]: 10002 3
09/18/07 01:24:58 [Note]: 10002 2
09/18/07 01:24:58 [Note]: 10002 2
09/18/07 01:28:28 [Note]: 10002 2
09/18/07 01:28:28 [Note]: 10002 2
09/18/07 01:29:02 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
09/18/07 01:29:02 [Note]: 10002 2
09/18/07 01:29:02 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
09/18/07 01:29:02 [Note]: 10002 2
09/18/07 01:29:35 [Note]: 2000 1012
09/18/07 01:32:07 [Note]: 7007 0
18 Septembre 2007 18:59:50


Toujours là , c'est pas normal

Tu as pu réactiver un Firewall ?


Fais un scan en ligne Kaspersky <- ici avec Internet Explorer

Clique sur Demarrer Online-Scanner ( en bas à droite )
Clique sur J'accepte , si necessaire valide l'installation des ActiveX
laisse installer les Mises à jour , choisis l'analyse du Poste de travail

à la fin de l'analyse , Sauvegarde le rapport puis colle le dans ta réponse

Si tu vois ce message : La licence de Kaspersky On-line Scanner est périmée
vas dans Ajout / Suppression de programmes et désinstalle On-Line Scanner
retourne sur le site et retente le scan
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS