Votre question

mon pc me marque YOUR COMPUTER IS INFECTED

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Février 2007 17:05:17

:fou: 
J ai reformater mon pc plusieurs fois et il marque your computer is infected alors qu'avant que je le reformate pour la premiere fois sa ne le faisé pas et maintenant il rame beaucoup
voici le rapport de hijackthis
avez vous une solution merci d avance


Logfile of HijackThis v1.99.1
Scan saved at 16:51:25, on 25/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\1B7.tmp
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\czon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\resvs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hawking\Common\RaUI.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\zilsce.exe
C:\WINDOWS\System32\dllcache\qxchost.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\1B7.tmp
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\1B7.tmp
O2 - BHO: (no name) - {8E5A2506-A3B7-4219-8ED2-BCEB8FCA968E} - C:\WINDOWS\System32\hgddcdc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Protocol Deployment Manager] C:\WINDOWS\system32\1B7.tmp
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\zilsce.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Registry Service] C:\WINDOWS\System32\resvs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Hawking Wireless Utility.lnk = C:\Program Files\Hawking\Common\RaUI.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: hgddcdc - C:\WINDOWS\SYSTEM32\hgddcdc.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O20 - Winlogon Notify: tuvtrrq - C:\WINDOWS\SYSTEM32\tuvtrrq.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\1B7.tmp
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - C:\WINDOWS\System32\winsvcmon.exe

Autres pages sur : marque your computer infected

25 Février 2007 18:06:00

Infection vundo
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
Contenus similaires
25 Février 2007 18:56:43

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\1B7.tmp
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\1B7.tmp
angeldark, cette ligne je sais pas quoi faire avec (même si je pense que c'est suspect...)
à part passer avg antispyware (pour le trojan de O20) il n'y a rien à faire je pense?
25 Février 2007 19:01:27

message pour cracker

jai fait ce que tu ma dis mais a la fin il me marque
done searching for files
no infected files were found
25 Février 2007 19:04:23

ah bon?
je croyais que c'était du vundo

~Télécharge AVG anti-spyware.
http://www.ewido.net/en/download/
~Mets le à jour. en cliquant sur le bouton mise à jour dans le menu du haut.
~Redémarre en mode sans échec
(f8 au démarrage de ton pc)
http://www.malekal.com/modesansechec.php
Lance AVG :

~Dans l’onglet analyse, dans Paramètre, clique sur Actions recommandées : choisis Quarantaine.
~Clique sur Analyse puis Analyse complète du système pour commencer le scan.

~Une fois que le scan est terminé, clique sur Appliquer toutes les actions, pour supprimer tous les fichiers infectés trouvés par AVG Anti-Spyware.

~Une fois que la suppression des fichiers infectés a été faite, clique sur enregistrer le rapport et sauvegarde-le sur le bureau.
TutoAVG antispyware : (merci à Malekal) .
http://www.malekal.com/tutorial_AVG_AntiSpyware.html
a b 8 Sécurité
25 Février 2007 19:08:56

C'est bien du Vundo ;) 

Na fais pas ça tout de suite.
Tu as installé le firewall ?
25 Février 2007 19:11:06

pour CWS c'est bien ça je pense (1b7.exe)
Donc il y a un programme qui bloque le travail de vundofix, pour ça faut installer un pare-feu tout d'abord?
25 Février 2007 19:11:24

et AVG pour le trojan de O20, c'est ça?
a b 8 Sécurité
25 Février 2007 19:19:21

C'est bien du Vundo ;) 

Na fais pas ça tout de suite.
Tu as installé le firewall ?
25 Février 2007 20:08:05

j ai installé avg mais il a abandonné le processus de mis a jour
j ai fait c que tu as dis en mode sans echec et voila le rapport

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 20:00:33 25/02/2007

+ Résultat de l'analyse:



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JFDZ5ZE8\84785_nttpm[1].exe -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\dllcache\seagatecom.exe -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\dkgiwrff.exe -> Backdoor.PoeBot.b : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\aslnhsqv.exe -> Backdoor.PoeBot.r : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\giyfmuqo.exe -> Backdoor.PoeBot.r : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\host.exe -> Backdoor.Rbot : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\iexplore.exe -> Backdoor.Rbot.bua : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\pyjpyole.exe -> Backdoor.Rbot.bua : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\winIogon.exe -> Backdoor.Rbot.bua : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\MHUF2HI1\gulpxc[1].htm -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\O1WDUH87\gulpxc[1].htm -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\O1WDUH87\gulpxc[2].htm -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\YHWTQRUX\gulpxc[1].htm -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\YHWTQRUX\gulpxc[2].htm -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\YHWTQRUX\gulpxc[3].htm -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\N0DZNXE1\gulpxc[1].htm -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[10].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[11].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[12].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[13].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[14].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[15].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[16].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[1].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[2].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[3].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[4].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[5].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[6].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[7].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[8].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJ23MN6P\ve0wh[9].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KVW3O7WP\ve0wh[1].jpg -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\1.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\10.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\11.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\12.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\1B7.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\3.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\4.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\6.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\7.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\8.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\9.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\A.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\B.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\C.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\D.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\E.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\F.tmp -> Proxy.Ranky : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts -> Proxy.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@clickbank[2].txt -> TrackingCookie.Clickbank : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@ehg-systran.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@mediaplex[2].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\WINDOWS\system32\csrs.exe -> Trojan.Pakes : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\eyrab[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\eyrab[2].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\eyrab[3].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\mlzuyupgoe[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\mlzuyupgoe[2].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\mlzuyupgoe[3].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\mlzuyupgoe[4].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\ylzqaoj[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\ylzqaoj[2].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\E3E32B8B\ylzqaoj[3].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\MHUF2HI1\eyrab[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\MHUF2HI1\eyrab[2].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\O1WDUH87\mlzuyupgoe[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\O1WDUH87\ylzqaoj[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\YHWTQRUX\eyrab[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\YHWTQRUX\mlzuyupgoe[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\YHWTQRUX\ylzqaoj[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\YHWTQRUX\ylzqaoj[2].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\5NEC3WY4\eyrab[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\DYWIJSA6\mlzuyupgoe[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JFDZ5ZE8\ylzqaoj[1].htm -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\chlus.exe -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\ppkbqeb.exe -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\vgtmc.exe -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

a b 8 Sécurité
25 Février 2007 20:08:51

Reposte un rapport Hijackthis stp.
25 Février 2007 20:37:44

avec le CWShredder voici le rapport **** Run Keys ****

RUN: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
RUN: [AGRSMMSG] AGRSMMSG.exe
RUN: [tcpipmon] tcpipmon.exe
RUN: [Services] C:\WINDOWS\System32\zgryr.exe
RUN: [ATIModeChange] Ati2mdxx.exe
RUN: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
RUN: [Registry Service] C:\WINDOWS\System32\resvs.exe
RUN: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
RUN: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
RUN: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe


**** Browser Helper Objects ****

BHO: [] C:\WINDOWS\System32\hgddcdc.dll


**** IE Toolbars ****

TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx


**** IE Extensions ****



**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost


**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&...
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...
Local Page: C:\windows\system32\blank.htm
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D9072F03-696A-4093-AF84-A21E8177469F}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D9072F03-696A-4093-AF84-A21E8177469F}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CCFA07DE-382C-4734-A626-FB1E14EA479F}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CCFA07DE-382C-4734-A626-FB1E14EA479F}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ABFD3B5D-E114-4F78-8BAF-81B141CDD595}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ABFD3B5D-E114-4F78-8BAF-81B141CDD595}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D6249EAB-4622-43E0-A3E8-8FF90430D7DD}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D6249EAB-4622-43E0-A3E8-8FF90430D7DD}] DATAGRAM 2


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash...]


**** Windows Services ****

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[aspnet_state] %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
[Ati HotKey Poller] %SystemRoot%\System32\Ati2evxx.exe
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVG Anti-Spyware Guard] C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[ImapiService] C:\WINDOWS\System32\imapi.exe
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[Microsoft Agent] "C:\WINDOWS\System32\dllcache\qxchost.exe"
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PDM] C:\WINDOWS\system32\1B7.tmp
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardDrv] %SystemRoot%\System32\SCardSvr.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[Seagate Communication] "C:\WINDOWS\System32\dllcache\seagatecom.exe"
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[SoundMAX Agent Service (default)] C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{054D53F3-A008-4760-8818-1EE70E25D175}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[winsvcmon] C:\WINDOWS\System32\winsvcmon.exe
[WmdmPmSp] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
SEARCH: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...


**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\windows\system32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&...
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [Use FormSuggest] yes
IEOPT: [NotifyDownloadComplete] no
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Error Dlg Details Pane Open] no
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...
IEOPT: [Use Custom Search URL]
IEOPT: [AutoSearch]
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&...
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] C:\windows\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
25 Février 2007 20:38:33

voila le nouveau rapport hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 20:37:58, on 25/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\dllcache\qxchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\WINDOWS\System32\zgryr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\resvs.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\WINDOWS\System32\algose32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hawking\Common\RaUI.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\1B7.tmp
O2 - BHO: (no name) - {8E5A2506-A3B7-4219-8ED2-BCEB8FCA968E} - C:\WINDOWS\System32\hgddcdc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\zgryr.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Registry Service] C:\WINDOWS\System32\resvs.exe
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - Global Startup: Hawking Wireless Utility.lnk = C:\Program Files\Hawking\Common\RaUI.exe
O20 - Winlogon Notify: hgddcdc - C:\WINDOWS\SYSTEM32\hgddcdc.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O20 - Winlogon Notify: tuvtrrq - C:\WINDOWS\SYSTEM32\tuvtrrq.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\1B7.tmp (file missing)
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - C:\WINDOWS\System32\winsvcmon.exe

a b 8 Sécurité
25 Février 2007 20:43:49

- Clique-Droit sur Hijackthis.exe :
-> Choisis "Renommer"
-> Tape Scanner.exe puis valide
- Poste ensuite un nouveau rapport.

Installe d'urgence le firewall Kerio !
25 Février 2007 21:49:34

oui mais kerio est payant
25 Février 2007 21:55:49

kerio est payant?!!!
Tu as probablement pris la version pro
prend la version familière ici:
http://www.infos-du-net.com/telecharger/Firewall-Kerio-...
tu l'installes, tu renommes hijackthis.exe en scanner.exe puis tu repostes un nouveau rapport ;)  (ça va déjà mieux avec avg et CWShredder)
25 Février 2007 22:50:50

ok je te remercie bcp de m aider
a b 8 Sécurité
26 Février 2007 17:13:33

Reposte un rapport Hijackthis après installation de Kerio.
26 Février 2007 20:14:00

rapport hijacktis apres kiero

Logfile of HijackThis v1.99.1
Scan saved at 23:35:10, on 25/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllcache\qxchost.exe
C:\WINDOWS\System32\urdvxc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\WINDOWS\System32\zgryr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\resvs.exe
C:\WINDOWS\System32\algose32.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hawking\Common\RaUI.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Propriétaire\Bureau\Scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\1B7.tmp
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8E5A2506-A3B7-4219-8ED2-BCEB8FCA968E} - C:\WINDOWS\System32\hgddcdc.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\zgryr.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Registry Service] C:\WINDOWS\System32\resvs.exe
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Hawking Wireless Utility.lnk = C:\Program Files\Hawking\Common\RaUI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?7b228ca9c8634490b36b42fae317887a
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?7b228ca9c8634490b36b42fae317887a
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hgddcdc - C:\WINDOWS\SYSTEM32\hgddcdc.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O20 - Winlogon Notify: tuvtrrq - tuvtrrq.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\1B7.tmp (file missing)
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - C:\WINDOWS\System32\winsvcmon.exe

a b 8 Sécurité
26 Février 2007 20:18:39

Re,

Il y a encore du travail à faire.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.

    26 Février 2007 20:23:02

    pourquoi tu as utilisé SDFix?
    26 Février 2007 20:37:03

    merci
    (si je passerais pour chaque rapport le temps de voir toute cette liste...)
    :) 
    26 Février 2007 21:18:49

    j ai telecharger SDFix quand je double clique dessus il y a une page qui se met en route quelque chose qui défile tres vite et apres j ai un bloc note qui s ouvre et qui marque

    The SDFix Folder has been extracted to %systemdrive% - Please run from that location.

    (%systemdrive% = drive that contains the Windows directory - typically 'C:\SDFix')

    Open the SDFix folder in Safe Mode then double click the RunThis.bat file to
    start the fixtool. If run in Normal Mode, options to download and run Anti-Virus
    command line scanners are displayed.
    a b 8 Sécurité
    26 Février 2007 21:24:17

    C'est normal, continue.
    26 Février 2007 22:03:39

    voici le rapport de SDFix


    SDFix: Version 1.68

    Run by Propri‚taire - 26/02/2007 @ 21:52:32,82

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Name:
    Microsoft Agent
    MSWindows
    PDM
    Seagate Communication
    winsvcmon

    Path:
    "C:\WINDOWS\System32\dllcache\qxchost.exe"
    "C:\WINDOWS\System32\urdvxc.exe" /service
    C:\WINDOWS\system32\1B7.tmp
    "C:\WINDOWS\System32\dllcache\seagatecom.exe"
    C:\WINDOWS\System32\winsvcmon.exe

    Microsoft Agent Deleted
    MSWindows Deleted
    PDM Deleted
    Seagate Communication Deleted
    winsvcmon Deleted

    Restoring Windows Registry Entries
    Restoring Default Hosts File

    Killing PID 140 'smss.exe'
    Killing PID 216 'winlogon.exe'
    Killing PID 140 'smss.exe'
    Killing PID 220 'winlogon.exe'
    a b 8 Sécurité
    26 Février 2007 22:05:06

    Le rapport n'est pas complet.
    26 Février 2007 22:05:14

    voici le nouveau rapport hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 22:04:33, on 26/02/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\System32\dllcache\qxchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\urdvxc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\winsvcmon.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\WINDOWS\System32\tcpipmon.exe
    C:\WINDOWS\System32\zgryr.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\tcpipmon.exe
    C:\WINDOWS\System32\algose32.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\jbuild.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Hawking\Common\RaUI.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Opera\Opera.exe
    C:\Documents and Settings\Propriétaire\Bureau\Nouveau dossier\Scanner.exe.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\1B7.tmp
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {8E5A2506-A3B7-4219-8ED2-BCEB8FCA968E} - C:\WINDOWS\System32\hgddcdc.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\zgryr.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Java Runtime Environment] C:\WINDOWS\System32\jbuild.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Hawking Wireless Utility.lnk = C:\Program Files\Hawking\Common\RaUI.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?7b228ca9c8634490b36b42fae317887a
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?7b228ca9c8634490b36b42fae317887a
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: hgddcdc - C:\WINDOWS\SYSTEM32\hgddcdc.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
    O20 - Winlogon Notify: tuvtrrq - tuvtrrq.dll (file missing)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe
    O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
    O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\1B7.tmp (file missing)
    O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - C:\WINDOWS\System32\winsvcmon.exe

    26 Février 2007 22:06:50

    ben j'ai un probleme apres quand il ma demandé d appuyer sur une touche a la fin le pc ne redemarre pas il reste en mode sans echec et je n 'ai plus d icone
    26 Février 2007 22:11:59

    angeldark, je pense qu'il faudera passer vundofix
    c'est ça?
    a b 8 Sécurité
    26 Février 2007 22:20:47

    Citation :
    ben j'ai un probleme apres quand il ma demandé d appuyer sur une touche a la fin le pc ne redemarre pas il reste en mode sans echec et je n 'ai plus d icone

    Comment es-tu passé en sans échec ?
    27 Février 2007 23:28:38

    oui j'étais en mode sans echec
    a b 8 Sécurité
    28 Février 2007 13:50:58

    Relis ma question et tu verras que ta réponse ne colle pas...
    28 Février 2007 16:10:19

    j ai fait comme c t écris en tapant sur la touche F8
    a b 8 Sécurité
    28 Février 2007 16:16:55

    Quand tu redémarres et que tu n'appuies sur rien, le pc redémarre en sans échec ?
    28 Février 2007 16:30:07

    non le probleme c qu'il ne redemarre pas

    j ai telechargé SDFix, je l 'ai extrait sur le bureau
    j'ai redemarrer en mode sans echec, j ai ouvert SDFix et cliquer sur runthis.bat puis j'ai appuyer sur Y apres il ma demander d'appuyer sur une touche pour redemarrer ce que j ai fait mais apres toute les icones disparaise et le pc ne redemarre pas j ai attendue 1/2 heure mais rien ne c passé
    a b 8 Sécurité
    28 Février 2007 16:32:24

    Bah redémarre manuellement.
    28 Février 2007 16:43:15

    oui sait ce que j ai fait mais apres le chargement du bureau le mot Finished ne sait pas afficher et quand je t ai posté le rapport tu m as dis qu'il n'était pas complet
    a b 8 Sécurité
    28 Février 2007 16:48:12

    Ok. Laisse tomber.
    Tu as lancé Vundofix ?
    4 Mars 2007 11:05:24

    Bonjour, j'ai également le même probleme, je post ici le rapport 1, si quelqu'un d'avertit peux m'aiguiller merci

    SmitFraudFix v2.147

    Rapport fait à 10:56:34,57, 04/03/2007
    Executé à partir de C:\Documents and Settings\benjamin\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    C:\WINDOWS\dr.exe PRESENT !
    C:\WINDOWS\user32.exe PRESENT !
    C:\WINDOWS\Tasks\At1.job PRESENT !
    C:\WINDOWS\Tasks\At2.job PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\RegistryCleanerSetup.exe PRESENT !
    C:\WINDOWS\system32\tcpipmon.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\benjamin


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\benjamin\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    C:\DOCUME~1\benjamin\MENUDM~1\PROGRA~1\Registry Cleaner PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\benjamin\Favoris


    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    C:\DOCUME~1\benjamin\Bureau\Registry Cleaner.lnk PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\dr.exe~ PRESENT !
    C:\Program Files\patcher.exe PRESENT !
    C:\Program Files\RegistryCleaner\ PRESENT !
    C:\Program Files\serial.dat PRESENT !
    C:\Program Files\serial.zip PRESENT !
    C:\Program Files\user32.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    4 Mars 2007 14:54:34

    bneos, crée ton propre sujet stp
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS