Se connecter / S'enregistrer
Votre question

[résolu] supprimer command service, help!

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Avril 2007 00:20:36

Bonjour,

Je n'arrive pas à supprimer command service avec Spybot.... et je suis très très nulle en informatique....
En jetant un coup d'oeil aux autres topics j'ai vu qu'il fallait faire un rapport avec hijackthis, alors le voilà

Merci à ceux qui voudront bien m'aider!

Logfile of HijackThis v1.99.1
Scan saved at 00:14:11, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.143 86.64.145.143
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINNT\services.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

Autres pages sur : resolu supprimer command service help

2 Avril 2007 01:00:59

Bonjour


$$ Télécharge
SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.e...

clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.


$$ Redémarre en mode sans échec.
émarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


$$ Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
Choisis l'option 2
Enregistre le rapport une fois le scan terminé


$$ Double clique sur SDFix.exe et choisis Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer

Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec le rapport qui se trouve ici C:\rapport_clean.txt et un nouveau HijackThis.
2 Avril 2007 01:44:29

Citation :
$$ Redémarre en mode sans échec.
émarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.


Désolée je dois être très très très blonde! je n'arrive pas à redémarrer en mode sans échec. J'appuie sur la touche F8 au moment où l'écran de vient noir après le chargement (même que j'appuie au moment ou est affiché :" appuyez sur F8 pour la résolution des problèmes"), je laisse désespérément mon doigt appuyé, et il ne se passe jamais rien.....!(à part que ça démarre normalement). J'ai essayé une bonne dizaine de fois.... (et aussi avec F5, j'ai lu quelque part que des fois il fallait faire ça) et rien.... Suis-je vraiment un cas désespéré qui ne sait même pas effectuer les manipulations les plus simples?
Contenus similaires
2 Avril 2007 02:46:14

Blonde.... il suffisait d'activer la touche "F Lock" pour que mes touces en F fonctionnent... j'ai honte! Je me fais pitié! Bref

le reste s'est je crois bien déroulé, et voici les rapports demandés:


SDFix: Version 1.75

Run by Administrateur - lun. 02/04/2007 - 2:33:18,93

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
MicroSoft Media Tools
ServiceHost
Windows Update Service
wins

ImagePath:
"C:\WINNT\MSmedia.exe"
"C:\WINNT\shost.exe"
"C:\WINNT\services.exe"
"C:\WINNT\system32\winscntrl.exe"

MicroSoft Media Tools Deleted
ServiceHost Deleted
Windows Update Service Deleted
wins Deleted


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINNT\SYSTEM32\ODLK.EXE - Deleted
C:\WINNT\system32\TFTP1004 - Deleted
C:\WINNT\system32\TFTP1024 - Deleted
C:\WINNT\system32\TFTP1032 - Deleted
C:\WINNT\system32\TFTP1036 - Deleted
C:\WINNT\system32\TFTP1072 - Deleted
C:\WINNT\system32\TFTP1080 - Deleted
C:\WINNT\system32\TFTP1096 - Deleted
C:\WINNT\system32\TFTP1112 - Deleted
C:\WINNT\system32\TFTP1116 - Deleted
C:\WINNT\system32\TFTP1124 - Deleted
C:\WINNT\system32\TFTP1136 - Deleted
C:\WINNT\system32\TFTP1140 - Deleted
C:\WINNT\system32\TFTP1168 - Deleted
C:\WINNT\system32\TFTP1184 - Deleted
C:\WINNT\system32\TFTP1200 - Deleted
C:\WINNT\system32\TFTP1236 - Deleted
C:\WINNT\system32\TFTP1244 - Deleted
C:\WINNT\system32\TFTP1596 - Deleted
C:\WINNT\system32\TFTP2236 - Deleted
C:\WINNT\system32\TFTP2240 - Deleted
C:\WINNT\system32\TFTP2288 - Deleted
C:\WINNT\system32\TFTP276 - Deleted
C:\WINNT\system32\TFTP308 - Deleted
C:\WINNT\system32\TFTP312 - Deleted
C:\WINNT\system32\TFTP3292 - Deleted
C:\WINNT\system32\TFTP3324 - Deleted
C:\WINNT\system32\TFTP3496 - Deleted
C:\WINNT\system32\TFTP3536 - Deleted
C:\WINNT\system32\TFTP3552 - Deleted
C:\WINNT\system32\TFTP3556 - Deleted
C:\WINNT\system32\TFTP3680 - Deleted
C:\WINNT\system32\TFTP3864 - Deleted
C:\WINNT\system32\TFTP388 - Deleted
C:\WINNT\system32\TFTP428 - Deleted
C:\WINNT\system32\TFTP4436 - Deleted
C:\WINNT\system32\TFTP472 - Deleted
C:\WINNT\system32\TFTP484 - Deleted
C:\WINNT\system32\TFTP4944 - Deleted
C:\WINNT\system32\TFTP5856 - Deleted
C:\WINNT\system32\TFTP628 - Deleted
C:\WINNT\system32\TFTP652 - Deleted
C:\WINNT\system32\TFTP712 - Deleted
C:\WINNT\system32\TFTP756 - Deleted
C:\WINNT\system32\TFTP880 - Deleted
C:\WINNT\system32\TFTP884 - Deleted
C:\WINNT\system32\TFTP892 - Deleted
C:\WINNT\system32\TFTP908 - Deleted
C:\WINNT\system32\TFTP936 - Deleted
C:\WINNT\system32\TFTP976 - Deleted
C:\WINNT\system32\TFTP988 - Deleted
C:\WINNT\system32\TFTP992 - Deleted



ADS Check:

C:\WINNT\system32
No streams found.


Final Check:

Remaining Services:
------------------



Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\WINNT\system32\cbabc.dll
C:\WINNT\system32\iiihi.dll
C:\WINNT\system32\dezyfgbm.exe
C:\WINNT\system32\mawgayw.exe
C:\WINNT\system32\qnyyigc.exe
C:\WINNT\system32\xjwzc.exe

Finished
_________________________________________________



Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le lun. 02/04/2007 a 2:29:32,14

Microsoft Windows 2000 [Version 5.00.2195]

*** Suppression de fichiers sur C:

*** Suppression des fichiers dans C:\WINNT\
tentative de suppression de C:\WINNT\NDNuninstall?_??.exe

*** Suppression des fichiers dans C:\WINNT\system32
tentative de suppression de C:\WINNT\system32\eraseme_?????.exe
tentative de suppression de C:\WINNT\system32\i
tentative de suppression de C:\WINNT\system32\setup_?????.exe


*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
___________________________________________________



Logfile of HijackThis v1.99.1
Scan saved at 02:43:56, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.142 86.64.145.142
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

________________________________

Alors, docteur, est-ce grave? (le PC, bien sûr, pour moi, je sais que c'est irrécupérable!)
2 Avril 2007 11:19:18

Bonjour


  1. Alors, docteur, est-ce grave? (le PC, bien sûr, pour moi, je sais que c'est irrécupérable!)


:pt1cable: 

SDFix a fait un beau ménage.
Mais il montre d'autres infections possibles.



$ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.


$ Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.
Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.


$ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
2 Avril 2007 13:42:08

Bon ben ça commence bien.... J'ai téléchargé Blacklight sur mon bureau à l'adresse indiquée, et quand je clique dessus mon ordinateur m'insulte en anglais:

"F-Secure Blacklight could not acquire necessary privileges (SeDebugPrivilege).

-Your computer settings may prevent acquiring these privileges.
-A malicious program might have disabled these privileges."

Je fais quand même le reste où le "malicious program" est-il vraiment si "malicious" que ça?

[edit]

Bon j'ai fait le reste.
Rapport SmitfraudFix:

SmitFraudFix v2.162

Rapport fait à 14:27:17,39, lun. 02/04/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINNT\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

__________________________________________________



VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 14:30:08 02/04/2007

Listing files found while scanning....

C:\WINNT\system32\bkrpseck.exe
C:\WINNT\system32\cbabc.bak1
C:\WINNT\system32\cbabc.bak2
C:\WINNT\System32\cbabc.dll
C:\WINNT\system32\cbabc.ini
C:\WINNT\system32\ihiii.ini
C:\WINNT\System32\iiihi.dll
C:\WINNT\system32\mljifge.dll
C:\WINNT\system32\rqrspop.dll
C:\WINNT\system32\xxywxyx.dll

Beginning removal...

Attempting to delete C:\WINNT\system32\bkrpseck.exe
C:\WINNT\system32\bkrpseck.exe Has been deleted!

Attempting to delete C:\WINNT\system32\cbabc.bak1
C:\WINNT\system32\cbabc.bak1 Has been deleted!

Attempting to delete C:\WINNT\system32\cbabc.bak2
C:\WINNT\system32\cbabc.bak2 Has been deleted!

Attempting to delete C:\WINNT\System32\cbabc.dll
C:\WINNT\System32\cbabc.dll Has been deleted!

Attempting to delete C:\WINNT\system32\cbabc.ini
C:\WINNT\system32\cbabc.ini Has been deleted!

Attempting to delete C:\WINNT\system32\ihiii.ini
C:\WINNT\system32\ihiii.ini Has been deleted!

Attempting to delete C:\WINNT\System32\iiihi.dll
C:\WINNT\System32\iiihi.dll Has been deleted!

Attempting to delete C:\WINNT\system32\mljifge.dll
C:\WINNT\system32\mljifge.dll Has been deleted!

Attempting to delete C:\WINNT\system32\rqrspop.dll
C:\WINNT\system32\rqrspop.dll Has been deleted!

Attempting to delete C:\WINNT\system32\xxywxyx.dll
C:\WINNT\system32\xxywxyx.dll Has been deleted!

Performing Repairs to the registry.
Done!


__________________________________________

Juste pour info, avec Vundofix, lorsque j'ai cliqué sur "yes" pour supprimer les fichiers, le message suivant s'est affiché:
"impossible d'importer c:\VundoFix.reg: une erreur imputable au disque ou au système de fichiers s'est produite lors de l'ouverture de ce fichier"
Mais après, j'ai cliqué sur ok, et l'ordinateur a redémarré......

___________________________________________


Enfin:

Logfile of HijackThis v1.99.1
Scan saved at 14:50:06, on 02/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - C:\WINNT\System32\mljifge.dll (file missing)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - C:\WINNT\System32\cbabc.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 86.64.145.145 84.103.237.145
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\i8060idse8060.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

___________________________________

Voilà.....
3 Avril 2007 00:50:04

Bonsoir


Cela progresse, Vundofix a fait un beau ménage.

Supprime Smitfraudfix, il ne sert à rien.


On va restaurer tes droits et nettoyer une éventuelle infection Look2me visible avec cette ligne

O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\i8060idse8060.dll (file missing)


Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
* Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

#Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.


Recommence aussi BlackLight, pour poster le rapport.
3 Avril 2007 01:30:26

Bonsoir! :hello:  (ou bonjour, c'est selon)

Alors voilà (cette fois-ci, tout s'est déroulé comme prévu):



Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 03/04/2007 01:16:05

Infected! C:\WINNT\system32\i8060idse8060.dll
Infected! C:\WINNT\system32\f80o0id3e80.dll

Attempting to delete infected files...

Attempting to delete: C:\WINNT\system32\f80o0id3e80.dll
C:\WINNT\system32\f80o0id3e80.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{768CA0C1-D31E-4165-A475-47034F656AE9}"
HKCR\Clsid\{768CA0C1-D31E-4165-A475-47034F656AE9}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6E47A5E5-B045-44A7-80A0-74F4D6F496EE}"
HKCR\Clsid\{6E47A5E5-B045-44A7-80A0-74F4D6F496EE}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2942F04D-4B23-44DF-B637-7553E9209128}"
HKCR\Clsid\{2942F04D-4B23-44DF-B637-7553E9209128}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C52AEF66-1B2A-41DC-B34B-5903E940B30E}"
HKCR\Clsid\{C52AEF66-1B2A-41DC-B34B-5903E940B30E}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{923D4E9E-4A16-461E-B243-4B24CF0E5E2C}"
HKCR\Clsid\{923D4E9E-4A16-461E-B243-4B24CF0E5E2C}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C64E78F2-6650-4AFB-86DD-4104A55435BA}"
HKCR\Clsid\{C64E78F2-6650-4AFB-86DD-4104A55435BA}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{4D63FCD8-591E-4BDE-9D7C-79AA9E26E593}"
HKCR\Clsid\{4D63FCD8-591E-4BDE-9D7C-79AA9E26E593}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{94F277E9-CD58-4D0E-8935-0784C718849E}"
HKCR\Clsid\{94F277E9-CD58-4D0E-8935-0784C718849E}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{02452B3F-FB82-4D78-B7BA-6EF6AF4DB3A2}"
HKCR\Clsid\{02452B3F-FB82-4D78-B7BA-6EF6AF4DB3A2}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{55555456-68DF-4B9B-8455-2315DBF6DF28}"
HKCR\Clsid\{55555456-68DF-4B9B-8455-2315DBF6DF28}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{35CF2065-1980-433E-8041-0DEBAA218DBD}"
HKCR\Clsid\{35CF2065-1980-433E-8041-0DEBAA218DBD}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{646A417A-8E2A-4CB7-9E18-9485316D0222}"
HKCR\Clsid\{646A417A-8E2A-4CB7-9E18-9485316D0222}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{191CBB86-E60E-40DB-B3E0-CA978B64AA52}"
HKCR\Clsid\{191CBB86-E60E-40DB-B3E0-CA978B64AA52}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{77189E93-DA06-44AE-B9C9-ABF40C6A299A}"
HKCR\Clsid\{77189E93-DA06-44AE-B9C9-ABF40C6A299A}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{DDFD8F64-FD72-4B71-943F-F839CF9DB3EA}"
HKCR\Clsid\{DDFD8F64-FD72-4B71-943F-F839CF9DB3EA}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BDC4A8DF-CFCD-49BE-BFAF-C313B518E118}"
HKCR\Clsid\{BDC4A8DF-CFCD-49BE-BFAF-C313B518E118}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F2EADF0F-B685-48A8-969A-21527B20B5AD}"
HKCR\Clsid\{F2EADF0F-B685-48A8-969A-21527B20B5AD}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{42D0D259-A3FC-4AC5-BDB8-034B10FB5DA2}"
HKCR\Clsid\{42D0D259-A3FC-4AC5-BDB8-034B10FB5DA2}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6861428C-B92F-409E-91B7-E2EDE493E24B}"
HKCR\Clsid\{6861428C-B92F-409E-91B7-E2EDE493E24B}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{81400FF4-1913-449F-8373-3B54BF2447A4}"
HKCR\Clsid\{81400FF4-1913-449F-8373-3B54BF2447A4}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{769E0BBE-A481-49DA-A250-9EDB7F2EE110}"
HKCR\Clsid\{769E0BBE-A481-49DA-A250-9EDB7F2EE110}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded
__________________________________________________

04/03/07 01:21:48 [Info]: BlackLight Engine 1.0.61 initialized
04/03/07 01:21:48 [Info]: OS: 5.0 build 2195 (Service Pack 2)
04/03/07 01:21:48 [Note]: 7019 4
04/03/07 01:21:48 [Note]: 7005 0
04/03/07 01:21:52 [Note]: 7006 0
04/03/07 01:21:52 [Note]: 7011 784
04/03/07 01:21:53 [Note]: 7026 0
04/03/07 01:21:53 [Note]: 7026 0
04/03/07 01:21:59 [Note]: FSRAW library version 1.7.1021
04/03/07 01:24:52 [Note]: 7007 0
__________________________________________________


Logfile of HijackThis v1.99.1
Scan saved at 01:25:17, on 03/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - (no file)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.c...
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x...
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.c...
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.c...
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/y...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe




Ca m'a l'air bien compliqué tout ça, mais bon, moi je me contente d'appliquer!
3 Avril 2007 23:07:46

Bonsoir

Look2me Destroyer a supprimé des fichiers et restauré tes droits d'administrateur.
BlackLight n'a rien trouvé.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer
.



1 Télécharge
CCleaner.

http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

AVG Anti-Spyware
http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente


2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


3 Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10AEBEF4-5D09-4044-8397-6DC3A5F125B0} - (no file)
O2 - BHO: (no name) - {28EB0EB3-B369-4B6D-BE0F-EF8098DE1762} - (no file)
O2 - BHO: (no name) - {CB9AE1F2-652A-4366-BE19-AE2EF8683395} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/ga [...] /ct2_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/ga [...] ltt3_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/ga [...] /ht1_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/ga [...] /pt3_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/ga [...] /rt0_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.ya [...] 040510.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O23 - Service: Windows Task Scheduler (Schedule Tasks) - Unknown owner - C:\WINNT\shtasks.exe (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionne
"Windows Task Scheduler" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINNT\shtasks.exe " / dans Type de démarrage,
sélectionne Désactiver / valide la modification.


5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINNT\shtasks.exe


6 Lance le nettoyage avec CCleaner.


7 Lance AVG Anti-Spyware.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware
4 Avril 2007 00:02:21

Bonsoir,

Avant de faire des bêtises, j'aurais quelques questions à te poser si ça ne te dérange pas trop:

j'ai déjà CCleaner, je le télécharge quand même?

Ensuite, quand je serai en mode sans échec, après HijackThis, tu dis:
Citation :
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


mais je pense que ces fenêtres ne seront pas ouvertes? si?

Bref, ensuite:

Citation :
Dans la liste des services, cherche et sélectionne
"Windows Task Scheduler" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\ETC.... " / dans Type de démarrage,
sélectionne Désactiver / valide la modification.


Je double clique sur la ligne "Windows taxk Scheduler" c'est ça?

Pour l'étape 6:
Supprimer les fichiers/dossiers incriminés , c'est à partir de la fenêtre où je serai ou il faut que je les cherche?

C'est normal qu'il n'y aie pas d'étapes 4 et 5 dans ton post?

Et enfin, vu que je suis très bête et ridicule, soyons fous, ridiculisons nous à fond: :o  je crois que quand je suis en mode sans echec ma souris ne fonctionne pas (c'était comme ça la dernière fois) mais je pense que je pourrai me dépatouiller avec le clavier, non??

Ok, on ne se moque pas trop.....
4 Avril 2007 21:47:47

Bonsoir


Pas la peine de télécharger CCleaner si tu l'as déja.

Pour Hijackthis, c'est parceque c'est un texte tout prêt. Cela ne te concerne pas ici.

Je double clique sur la ligne "Windows Task Scheduler" ---> Oui


J'ai remis en ordre les numéros de la manip.


Pour l'étape 5 (anciennement 6), tu cherches le fichier sur le PC.


Si la souris ne fonctionne pas, tu peux utiliser le clavier assez facilement.

A suivre
4 Avril 2007 23:58:15

re!

J'ai tout effectué dans l'ordre. Tout c'est bien passé jusqu'à l'étape 7: impossible de maîtriser AVG Anti-Spyware juste avec le clavier (mode sans echec)! il m'a dit: "AVG Anti-Spyware 7.5 Exception. Something bad happened in the application. Error diagnostic file saved to 'C:\ProgramFiles\Grisoft\AVGAnti-Spyware7.5\avgas.err'

J'ai trouvé le fichier avgas.err et pas loin un doc texte "error" que je te mets ici juste au cas où:
_________________________________________________
Error: failed to connect to server, Value: 0000274C, Position: .\DownloadHttp.cpp, 304
Error: failed to create socket, Value: 00002742, Position: .\DownloadHttp.cpp, 251
Error: failed to connect to server, Value: 00002741, Position: .\DownloadHttp.cpp, 304

__________________________________________________
Du coup j'ai redémarré normalement, et ai quand même fait ce que tu avais écrit. J'espère que ça ira quand même.
Voici les rapports:

___________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 23:47:26, on 04/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 86.64.145.145 84.103.237.145
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

____________________________________________________


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 23:33:19 04/04/2007

+ Résultat de l'analyse:



C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\How To Uninstall.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore - The Search Accelerator.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore Tour.lnk -> Adware.Ucmore : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\mljifge.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\rqrspop.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\xxywxyx.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\kzzu\kzzud\vocabulary -> Downloader.TSUpdate.j : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\dezyfgbm.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\mawgayw.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\qnyyigc.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\xjwzc.exe -> Dropper.Paradrop.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\cHJpdmU\wJLDxAo.vbs -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

______________________________________________________

Bon, on les a tous éliminés où il reste des irréductibles?
En tout cas je voulais te remercier du temps que tu prends pour aider une quiche comme moi! :pt1cable: 
5 Avril 2007 17:26:18

Bonjour


Du ménage a été fait. On vérifie ce qu'il reste.


Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer.
http://webscanner.kaspersky.fr/
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
5 Avril 2007 22:12:38

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, April 05, 2007 10:09:25 PM
Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 2 (Build 2195)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 5/04/2007
Enregistrements dans la base antivirus Kaspersky : 275434
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\

Statistiques de l'analyse:
Total d'objets analysés: 14902
Nombre de virus trouvés: 7
Nombre d'objets infectés: 11 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:38:29

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012007040520070406\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Avg7\Log\emc.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe/data0002/data0006 Infecté : Trojan-Dropper.Win32.VB.kk ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe/data0002 Infecté : Trojan-Dropper.Win32.VB.kk ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KFUZ2T2F\AGEU_SilentSudokuInstaller[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0009.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.n ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0010.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.p ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0011.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.l ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe/WISE0012.BIN Infecté : Trojan-Downloader.Win32.TSUpdate.f ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MT2HS9QZ\tsinstall_4_0_4_0_b4[1].exe WiseSFX: infecté - 4 ignoré
C:\WINNT\CSC\00000001 L'objet est verrouillé ignoré
C:\WINNT\Debug\ipsecpa.log L'objet est verrouillé ignoré
C:\WINNT\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINNT\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\PRIVE-JOD65G8WC.ldb L'objet est verrouillé ignoré
C:\WINNT\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINNT\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINNT\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINNT\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\default L'objet est verrouillé ignoré
C:\WINNT\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SAM L'objet est verrouillé ignoré
C:\WINNT\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINNT\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\software L'objet est verrouillé ignoré
C:\WINNT\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\system L'objet est verrouillé ignoré
C:\WINNT\system32\config\SYSTEM.ALT L'objet est verrouillé ignoré
C:\WINNT\system32\download.dat Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINNT\system32\mdn.cpp Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINNT\system32\vbnet.ini Infecté : Trojan-Downloader.BAT.Ftp.cg ignoré
C:\WINNT\Temp\ZLT032aa.TMP L'objet est verrouillé ignoré
C:\WINNT\Temp\ZLT032d4.TMP L'objet est verrouillé ignoré

Analyse terminée.
5 Avril 2007 23:51:08

Re


Supprime ces trois fichiers

C:\WINNT\system32\download.dat
C:\WINNT\system32\mdn.cpp
C:\WINNT\system32\vbnet.ini

Vide la corbeille.


As tu encore des dysfonctionnements ?
6 Avril 2007 00:43:06

Re

A priori je n'ai plus de problèmes (plus de fenêtres intempestives....) et c'est super.
Par contre quand je fais une analyse Spybot, il me trouve toujours commande service avec 2 fichiers qu'il arrive pas à supprimer:

Command Service: Réglages (Clé du registre, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Réglages (Clé du registre, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

Est-ce normal?
6 Avril 2007 19:02:36

Bonjour

Télécharge Delcmdservice (par Marckie)
http://users.telenet.be/marcvn/tools/delcmdservice.zip
Sauvegarde-le sur ton Bureau.

* En extraire (dézippe) le contenu sur ton Bureau (un dossier nommé delcmdservice)
* Double-clique sur le dossier delcmdservice
* Double-clique sur delreg.bat afin de lancer l'outil
* Redémarre ton PC lorsque l'outil aura complété son travail

* Suite au redémarrage, scan avec HijackThis! et colle le nouveau rapport, dans ta prochaine réponse

Vérifie aussi si Spybot trouve encore quelque chose.
6 Avril 2007 20:03:29

rien sur spybot sur command service. Il reste Avenue A.inc, Blue streak et media plex mais spybot les a éliminés:



Logfile of HijackThis v1.99.1
Scan saved at 20:02:01, on 06/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\loadqm.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\System32\internat.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF0696F-EA08-4FF4-AA88-C7D2DC10ECA6}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
6 Avril 2007 21:13:03

Plus rien d'infectieux dans ces rapports.

As tu encore des dysfonctionnements ?
10 Avril 2007 09:22:39

Hello!

Désolée pour la réponse tardive, le week-end de Pâques, les cloches ne sont pas connectées à internet :kaola:  :pt1cable:  :pt1cable: 

Non, plus de problèmes à priori (bravo!!!! :bounce:  :bounce:  )

Juste une dernière question avant de marquer le sujet comme résolu; mon bureau est pas mal encombré maintenant; que puis-je supprimer, et que me conseilles-tu de garder?

Pour info et pour t'éviter de relire tous les posts:
Kaspersky
delcmdservice
hijackthis
SDFix
clean
fsbl
Look2Me-Destroyer
AVG Anti-Spyware
Spybot-Search & Destroy
Vundofix

Merci
15 Avril 2007 18:40:38

euh...
Oui mais pour avoir SP2, il faut windows XP? Moi j'ai que Windows2000....
Et pis mon ordi est tellement vieux, est-ce vraiment la peine?
16 Avril 2007 00:24:08

Etre à jour permet d'être mieux protèger.

C'est vrai que tu as Windows 2000. Cela veut dire que tu es encore plus en retard, car c'est le SP 4.
16 Avril 2007 11:46:30

Voilà, mise à jour effectuée, je suis au SP4.
Comment savoir quand il y a des mises à jour windows (promis, c'est ma dernière question)?
16 Avril 2007 12:22:30

merci pour tout! :bounce: 
:hello: 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS