Se connecter / S'enregistrer
Votre question

plus d'antivirus ni antispyware et hldrrr.exe

Tags :
  • Antispyware
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Mars 2007 21:48:50

Bonsoir, ( désolé c'était un oubli)
A la demande de Sham-Rock, je cree donc un nouveau sujet.

Il y a une semaine je m'apercoit que mon pcouvre des pop up sans raison. je vais pour cherche mon antivirus (avast) plus d'icone dispo et windows me demande de parcourir le fichier, l'exe a disparu... c'est pas grave je vais chercher un antispyware, et la spybot aussi , disparu, il n'y a qu'adaware qui est dispo mais il ne trouve rien.Un jour apres un redemarrage, plus de connexion wifi via windows, j'installe donc l'utilitaire de la cart wifi, je retourve ma connexion, je tentes un scan en ligne , idem RAS.
je fouille sur les forum et j'entends parler d'un fichier HLDRRR.exe , je regardes sur mon pc il est bien présent, mpossible de le supprimer, idem avec killbox.

il me vire le FW au démarrage mais bon c une question d'habitude.

voila donc une copie du fichier hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 21:49:50, on 13/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\LogMeIn\LogMeInSystray.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\LogMeIn\RaMaint.exe
C:\Program Files\LogMeIn\LogMeIn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\uTorrent\utorrent.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Program Files\BitSpirit\BitSpirit.exe
C:\Documents and Settings\Ju\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\LogMeInSystray.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {254AA86E-5655-4518-AA87-185D7CC41801} (LogMeIn Rescue Technician Console) - https://secure.logmeinrescue.com/TechConsole/RescueCont...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.ca...
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\LogMeIn.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Autres pages sur : antivirus antispyware hldrrr exe

a b 8 Sécurité
6 Mars 2007 22:29:57

Un petit bonjour ?

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

AIDE : Tuto sur BlackLight (Malekal)
6 Mars 2007 23:11:31

oups, re bonsoir (j'ai édité mon premier post)

ci joint le rapport.

bonne soirée

02/04/07 00:54:48 [Info]: BlackLight Engine 1.0.55 initialized
02/04/07 00:54:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/04/07 00:54:49 [Note]: 7019 4
02/04/07 00:54:49 [Note]: 7005 0
02/04/07 00:54:50 [Note]: 7006 0
02/04/07 00:54:50 [Note]: 7011 1620
02/04/07 00:54:50 [Note]: 7026 0
02/04/07 00:54:50 [Note]: 7026 0
02/04/07 00:54:57 [Note]: FSRAW library version 1.7.1021
02/04/07 00:54:58 [Info]: Hidden file: c:\Documents and Settings\Ju\Application Data\hidires\hidr.exe
02/04/07 00:54:58 [Note]: 10002 2
02/04/07 00:54:58 [Info]: Hidden file: c:\Documents and Settings\Ju\Application Data\hidires\m_hook.sys
02/04/07 00:54:58 [Note]: 10002 2
02/04/07 00:54:58 [Note]: 10002 3
02/04/07 00:54:58 [Note]: 10002 3
02/04/07 00:54:58 [Note]: 10002 2
02/04/07 00:54:58 [Note]: 10002 2
02/04/07 00:56:42 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
02/04/07 00:56:42 [Note]: 10002 3
02/04/07 00:56:42 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
02/04/07 00:56:42 [Note]: 10002 3
02/04/07 00:56:42 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
02/04/07 00:56:42 [Note]: 10002 3
02/04/07 00:56:42 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
02/04/07 00:56:42 [Note]: 10002 3
02/04/07 00:56:42 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
02/04/07 00:56:42 [Note]: 10002 3
02/04/07 00:56:42 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
02/04/07 00:56:42 [Note]: 10002 3
02/04/07 00:56:42 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
02/04/07 00:56:42 [Note]: 10002 3
02/04/07 00:56:42 [Note]: 10002 2
02/04/07 00:56:42 [Note]: 10002 2
02/04/07 00:58:55 [Note]: 10002 2
02/04/07 00:58:55 [Note]: 10002 2
Contenus similaires
a b 8 Sécurité
7 Mars 2007 13:06:39

Re,

C'est bien du Bagle.

Télécharge ELIBAGLA en bas de cette page.
Clique sur le bouton Descargar Elibagla, cela va télécharger le fichier, place-le sur ton Bureau.
Double-clique dessus pour l'ouvrir.
Assure-toi que dans le menu déroulant Unidad, vous ayez bien C:\
Vérifie aussi aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.

AIDE : Comment supprimer Bagle ?
7 Mars 2007 14:57:18

Re,

voila le rapport de ELIBAGLA

Sun Feb 04 16:38:15 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\JU\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\JU\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Feb 04 16:38:50 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\


a b 8 Sécurité
7 Mars 2007 15:39:02

Reposte maintenant un rapport Blacklight.
7 Mars 2007 21:07:09

et voila chef,

02/04/07 23:00:59 [Info]: BlackLight Engine 1.0.55 initialized
02/04/07 23:00:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/04/07 23:00:59 [Note]: 7019 4
02/04/07 23:00:59 [Note]: 7005 0
02/04/07 23:01:02 [Note]: 7006 0
02/04/07 23:01:02 [Note]: 7011 1616
02/04/07 23:01:02 [Note]: 7026 0
02/04/07 23:01:02 [Note]: 7026 0
02/04/07 23:01:09 [Note]: FSRAW library version 1.7.1021
02/04/07 23:01:11 [Note]: 10002 2
02/04/07 23:01:11 [Note]: 10002 2
02/04/07 23:02:29 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
02/04/07 23:02:29 [Note]: 10002 3
02/04/07 23:02:29 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
02/04/07 23:02:29 [Note]: 10002 3
02/04/07 23:02:29 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
02/04/07 23:02:29 [Note]: 10002 3
02/04/07 23:02:29 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
02/04/07 23:02:29 [Note]: 10002 3
02/04/07 23:02:29 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
02/04/07 23:02:29 [Note]: 10002 3
02/04/07 23:02:29 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
02/04/07 23:02:29 [Note]: 10002 3
02/04/07 23:02:29 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
02/04/07 23:02:29 [Note]: 10002 3
02/04/07 23:02:29 [Note]: 10002 2
02/04/07 23:02:29 [Note]: 10002 2
02/04/07 23:04:46 [Note]: 10002 2
02/04/07 23:04:46 [Note]: 10002 2
02/04/07 23:06:13 [Note]: 7007 0
a b 8 Sécurité
7 Mars 2007 21:11:55

Toujours Bagle :/ 
Refais un scan EliBagla, puis poste le rapport.
8 Mars 2007 10:03:33

hello,

EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\JU\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\JU\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Feb 04 16:38:50 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Feb 05 11:58:16 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Hidires"

Mon Feb 05 11:58:24 2007
EliBagle v10.24 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

8 Mars 2007 10:04:55

tiens on dirait, le meme...
PS ne fait pas atention a la date, c'est normal.
8 Mars 2007 10:11:38

voila blacklight

03/08/07 10:04:59 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 10:04:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 10:04:59 [Note]: 7019 4
03/08/07 10:04:59 [Note]: 7005 0
03/08/07 10:05:04 [Note]: 7006 0
03/08/07 10:05:04 [Note]: 7011 1616
03/08/07 10:05:04 [Note]: 7026 0
03/08/07 10:05:04 [Note]: 7026 0
03/08/07 10:05:07 [Note]: FSRAW library version 1.7.1021
03/08/07 10:06:37 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
03/08/07 10:06:37 [Note]: 10002 3
03/08/07 10:06:37 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
03/08/07 10:06:37 [Note]: 10002 3
03/08/07 10:06:37 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
03/08/07 10:06:37 [Note]: 10002 3
03/08/07 10:06:37 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
03/08/07 10:06:37 [Note]: 10002 3
03/08/07 10:06:37 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
03/08/07 10:06:37 [Note]: 10002 3
03/08/07 10:06:37 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
03/08/07 10:06:37 [Note]: 10002 3
03/08/07 10:06:37 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
03/08/07 10:06:37 [Note]: 10002 3
03/08/07 10:06:37 [Note]: 10002 2
03/08/07 10:06:37 [Note]: 10002 2
03/08/07 10:09:05 [Note]: 10002 2
03/08/07 10:09:05 [Note]: 10002 2
03/08/07 10:10:37 [Note]: 7007 0
a b 8 Sécurité
8 Mars 2007 13:23:46

Bizarre...

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

8 Mars 2007 14:40:38

Voila!!

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 08/03/2007 a 14:39:40,00

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

"C:\Program Files\DaemonTools_WhenUSave_Installer\" FOUND
*** Fin du rapport !
a b 8 Sécurité
8 Mars 2007 16:36:22

Re,

Supprime ce dossier :
C:\Program Files\DaemonTools_WhenUSave_Installer

Citation :
- Assure toi d'avoir accès aux dossiers/fichiers cachés
-> Démarrer
-> Panneau de configuration
-> Options des Dossiers, onglet Affichage :
. Clique sur Afficher les dossiers cachés
. Décoche Masquer les extensions des fichiers dont le type est connu
. Décoche Masquer les fichiers protégés du système d'exploitation


Possédes-tu ce fichier ? :
C:\WINDOWS\System32\hldrr.exe(.vir)
8 Mars 2007 18:13:12

ca y est le dossier est supprimé, le fichier hldrrr.exe n'est plus la, j'ai reessaye de reinstaller avast mais rien n'y fait.

a b 8 Sécurité
8 Mars 2007 18:29:04

On va faire autrement.

Télécharge Gmer.
Dézippe le dans un dossier ou sur ton bureau.

Déconnecte toi d'Internet puis et ferme tous les programmes.
Double-clique sur Gmer.exe.

IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clique sur l'onglet rootkit.
A droite, coche Files et Services.
Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
8 Mars 2007 19:36:27

bon le fichier doit etre tros long je peux pas le poster

en MP?
a b 8 Sécurité
8 Mars 2007 20:51:53

Re,

On va utiliser la manière forte.

1/ Télécharge The Avenger (par Swandog46) sur ton Bureau.
Dézippe-le ensuite sur ton Bureau.

2/ Copie tout le texte en rouge[/#f] ci-dessous :

Citation :
[#ff1c00]Files to delete:
Drivers to unload:
m_hook

registry keys to delete:
HKLM\System\CurrentControlSet\Services\m_hook

Files to delete:
C:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\Ju\Application Data\hidires\hidr.exe
C:\Documents and Settings\Ju\Application Data\hidires\m_hook.sys

Folders to delete:
C:\Documents and Settings\Ju\Application Data\hidires


---> Clique-droit puis Copier

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


3/ Maintenant, lance The Avenger en cliquant sur l'icône présente sur le Bureau.
Sous "Script file to execute" choisis "Input Script Manually".
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, colle le texte précedemment copié sur le bureau.
Clique sur "Done"
Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script.
Réponds par "Yes" deux fois quand cela te sera demandé.

4/ The Avenger va automatiquement faire ce qui suit :
Il va redémarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger redémarrera votre système 2 fois)
Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de Windows noire sur votre bureau, ceci est NORMAL.
Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici : C:\avenger\backup.zip.

5/ Pour finir copie/colle le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau rapport HijackThis.
8 Mars 2007 21:25:34

4 / ouah impressionnant, j'ai pas fais le malin au redemarrage, il est resté au moins 5 minutes sans bougé et il a redémarré 2 fois.

5 / voila le rapport avenger :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dtnfigiq

*******************

Script file located at: \??\C:\Program Files\qolpswxk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key \Registry\Machine\System\CurrentControlSet\Services\m_hook not found!
Unload of driver m_hook failed!

Could not process line:
m_hook
Status: 0xc0000034



Registry key HKLM\System\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\System\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\System\CurrentControlSet\Services\m_hook
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



Could not open file C:\Documents and Settings\Ju\Application Data\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Ju\Application Data\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Ju\Application Data\hidires\hidr.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Ju\Application Data\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Ju\Application Data\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Ju\Application Data\hidires\m_hook.sys
Status: 0xc000003a



Folder C:\Documents and Settings\Ju\Application Data\hidires not found!
Deletion of folder C:\Documents and Settings\Ju\Application Data\hidires failed!

Could not process line:
C:\Documents and Settings\Ju\Application Data\hidires
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
8 Mars 2007 21:26:21

5 bis / voila le nouveau hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 21:25:53, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\LogMeIn\LogMeInSystray.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\uTorrent\utorrent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Documents and Settings\Ju\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\LogMeInSystray.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {254AA86E-5655-4518-AA87-185D7CC41801} (LogMeIn Rescue Technician Console) - https://secure.logmeinrescue.com/TechConsole/RescueCont...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.ca...
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

a b 8 Sécurité
8 Mars 2007 21:26:57

Cela n'a pas fonctionné apparemment.
Refais un scan Blacklight.
8 Mars 2007 21:30:04

ok , pourtant mon pare feu windows s'est bien activé au démarrage, spybot refonctionne, je poste le blacklight a la fin de l'analyse
a b 8 Sécurité
8 Mars 2007 21:30:50

Je verrai ça demain ;) 
Fais attention en attendant...
8 Mars 2007 21:50:36

ok en tout cas merci de ton aide, spybot s'est fait plaisir, 62 problèmes corrigés

pour blacklight, voila
03/08/07 21:30:01 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 21:30:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 21:30:07 [Note]: 7019 4
03/08/07 21:30:07 [Note]: 7005 0
03/08/07 21:38:52 [Note]: 7006 0
03/08/07 21:38:52 [Note]: 7011 1608
03/08/07 21:38:53 [Note]: 7026 0
03/08/07 21:38:53 [Note]: 7026 0
03/08/07 21:38:57 [Note]: FSRAW library version 1.7.1021
03/08/07 21:49:44 [Note]: 7007 0
a b 8 Sécurité
8 Mars 2007 22:01:11

Log clean :D 

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

8 Mars 2007 22:02:38

c'est bon ???

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 08/03/2007 a 22:01:52,09

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Fin du rapport !
8 Mars 2007 23:47:26

123 fichiers infécté par beagle apres un scan avec avast.

Je pense que cela est résolu, mais tu me confirmeras en a l'aide du rapport.

bonne nuit et merci
a b 8 Sécurité
9 Mars 2007 13:16:22

On va quand même vérifier.

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    9 Mars 2007 20:11:08

    Friday, March 09, 2007 7:43:17 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 9/03/2007
    Enregistrements dans la base antivirus Kaspersky : 263908
    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai
    Cible de l'analyse Poste de travail
    A:\
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\
    J:\
    K:\
    L:\
    M:\
    Statistiques de l'analyse
    Total d'objets analysés 181811
    Nombre de virus trouvés 4
    Nombre d'objets infectés 20 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 02:22:28

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\Ju\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\cert8.db L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\formhistory.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\history.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\key3.db L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\parent.lock L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\search.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Application Data\Sun\Java\Deployment\log\plugin150_11.trace L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Ahead\Nero Home\bl.db-journal L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Ahead\Nero Home\is2.db-journal L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Messenger\fckju@hotmail.com\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Messenger\fckju@hotmail.com\SharingMetadata\pending.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Messenger\fckju@hotmail.com\SharingMetadata\Working\database_AA78_2264_7822_2F8D\dfsr.db L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Messenger\fckju@hotmail.com\SharingMetadata\Working\database_AA78_2264_7822_2F8D\fsr.log L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Messenger\fckju@hotmail.com\SharingMetadata\Working\database_AA78_2264_7822_2F8D\fsrtmp.log L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Messenger\fckju@hotmail.com\SharingMetadata\Working\database_AA78_2264_7822_2F8D\tmp.edb L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Windows Live Contacts\fckju@hotmail.com\real\members.stg L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Microsoft\Windows Live Contacts\fckju@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Application Data\Mozilla\Firefox\Profiles\uunhx0wz.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Historique\History.IE5\MSHist012007030920070310\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Temp\hsperfdata_Ju\2080 L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Temp\Perflib_Perfdata_660.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Temp\~DF3724.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Temp\~DF3732.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Temp\~DF4678.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Temp\~DF4684.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\Ju\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-03-09.09-11-19.log L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
    C:\RECYCLER\S-1-5-21-746137067-1482476501-725345543-1003\Df1\wintems.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP113\A0018551.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP116\A0018641.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP118\A0018708.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP118\A0018736.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP118\A0018833.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP121\A0019690.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP121\A0019706.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP121\A0019719.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP121\A0020733.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP121\A0020963.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP121\A0020972.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP122\A0021137.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP125\A0022366.exe Infecté : Email-Worm.Win32.Bagle.ii ignoré
    C:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP134\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edbtmp.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\Perflib_Perfdata_548.dat L'objet est verrouillé ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
    D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    D:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP134\change.log L'objet est verrouillé ignoré
    E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    E:\System Volume Information\_restore{35E5370E-90C6-4E8C-9DD1-A201167D2BE7}\RP134\change.log L'objet est verrouillé ignoré
    a b 8 Sécurité
    9 Mars 2007 20:14:46

    Re,

    Supprime ce dossier :
    H:\crack

    Vide ta corbeille.

    Désactive puis réactive la restauration du système.
    9 Mars 2007 20:20:37

    piou t rapide....

    voila c fait et maintenant chef?
    a b 8 Sécurité
    9 Mars 2007 20:21:44

    Reposte un rapport Hijackthis.
    9 Mars 2007 20:24:39

    voila

    Logfile of HijackThis v1.99.1
    Scan saved at 20:23:13, on 09/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\sstray.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
    C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\LogMeIn\LogMeInSystray.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
    C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\uTorrent\utorrent.exe
    C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
    C:\Documents and Settings\Ju\Bureau\Scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.2.7.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\LogMeInSystray.exe"
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
    O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
    O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
    O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
    O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
    O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {254AA86E-5655-4518-AA87-185D7CC41801} (LogMeIn Rescue Technician Console) - https://secure.logmeinrescue.com/TechConsole/RescueCont...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.ca...
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


    PS : t'as un tuto pour pouvoir lire ces rapports?
    a b 8 Sécurité
    9 Mars 2007 20:39:30

    On apprend pas à lire ça en deux jours.
    Pour les tutos : Google is your friend !

    Tu as d'autres problèmes ?
    9 Mars 2007 21:07:52


    pas d'autres en ce qui concerne l'informatique en ce moment, ca serait plutot gastrique mais la un Hikackthis n'y fera pas grand chose, lol. :pfff: 

    Si tout est ok je te remercie beaucoup en tous cas de m'avoir eviter une reinstall complète.
    :hello: 
    a b 8 Sécurité
    9 Mars 2007 21:27:45

    Tout est ok.

    Bon rétablissement :hello: 
    9 Mars 2007 21:37:47

    Merci
    on peut donc cloturer le sujet.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS