Forum Clubic

J'y crois pas... - Multiples alertes cheval de troie Nod32

Bonsoir,
Voilà, ce coup-ci j’en peu plus. :pfff:
Celà fait plusieurs jours que mon anti-virus me donne des alertes, elles sont toujours les unes apres les autres. N’étant pas tout à fait novice en informatique, j’ai tout d’abord fait DES recherches sur mon ami “google” pour eviter de gonfler en posant toujours les mêmes questions auxquelles toutes les reponses sont sur le net,et, j’ai pratiquement lu tout ce qui etait lisible, aussi bien en Anglais qu’en Francais, je me suis même surpris à visiter des sites Allemand, c’est dire que je suis desespéré.
J’ai des messages d’alertes de Nod32 avec des troyens et un ou deux adware. Alors j’ai essayé Adaware, spybot , hijackthis, SDfix, Clean, fixvundo mais rien e tout ca n’y fait…En mode sans echec ou pas :neutre:
Etant curieux et obstiné je ne veux pas reformater, je préfére la solution hard, essayé de trouver ce qui cloche mais j’ai vraiment l’impression de tourner en rond sans pour autant entrevoir la moindre des solution.
En réalité je suis entre la deprime et l’incomprehension, mais surtout j’en ai vraiment ras la casquette de batailler contre plus fort que moi.
Alors si parmis vous il y a une ou plusieurs personnes acharnés avec LA solution à mon problème insoluble à mon gout, je suis mais alors vraiment je suis pret à TOUT essayer.
Merci de votre support.
Cordialement Eric.

Logfile of HijackThis v1.99.1
Scan saved at 00:12:57, on 17/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\mspaint.exe
C:\Documents and Settings\Eric\Bureau\Outils contre troyen\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Blank.htm
O4 - HKLM\…\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\…\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\…\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\…\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=pavilion&pf=laptop
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/…lscbase9602.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.clubechat.net/controls/MsnChat45.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

De plus lors des alertes Nod32, le soit disant fichier infecté commence par http:/et avec un numero comme une ip —>//82.98235.61MS_s_2.dll?uid=E954E4O6D19611DBA82260015A4300D0052&guid=86E93 ainsi de suite mais je ne vois pas la fin car la fentre de nod est trop petite :whistle: … Avec la description Win32/spy.VBstat.J cheval de troie.
Ce que je compren pas c’est que m’on AV le detecte mais il ne me le supprime pas et ceci depuis une dizaine de jours.

Désolé si vous avez des popups mais en deux secondes j’ai trouvé ça pour l’hebergement de mes screens :paf:

http://www.imageshotel.org/images/clemaric/screen3.jpg
http://www.imageshotel.org/thumbs/clemaric/screen2.jpg
http://www.imageshotel.org/images/clemaric/screen4.jpg
http://www.imageshotel.org/images/clemaric/screen5.jpg
http://www.imageshotel.org/images/clemaric/screen6.jpg
http://www.imageshotel.org/images/clemaric/screen7.jpg
http://www.imageshotel.org/images/clemaric/screen8.jpg

:hello: Pour les rapports j’y connais rien pour l’instant,mais la prochaine fois que tu as un ou deux et même trois attaques tu les mets tous dans la zone quarantaine et tu les supprimes.Ton antivirus a t-il proposer une action? est-il à jours?

J’ai souvent des attaques et tous vont dans la zone quarantaine,ensuite un CHDSK

Hello Claude 007,
Merci de te soucier de mon probleme mais mon antivirusles mets bien en quarantaine et il est bel et bien à jour :jap: De toutes facons les malwares ont du se loger dans le system restor donc ils reviendront à chaque reboot, et pourtant j’ai bien desactiver la restauration de système lors des scannes…
Plus d’idée ?
Cordialement, Eric.

Bonjour,

Commencez par jeter un oeil sur ce forum, toutes les réponses aux divers problèmes y sont :
http://www.clubic.com/forum/quel-antivirus…ir-t418943.html

En résumé, démarrez en “Mode sans échec” (touche F8 ou F5)
1 - Restauration du système : Désactiver toutes les restaurationsdes HD
2 - Explorer/HD (C:)/Propriétés/Général/Nettoyage du disque/Cocher toutes les cases/Onglet “Autres options”/Restauration du système/Nettoyer/Oui/OK/Oui/OK
3 - Lancer NOD32/Cibles à analyser/Tous les HD/Analyser/et suivre les invites à l’écran/en final supprimer tous les malwares

Amitiés & @+

essai un scan en mode sans echec avec nod32, tu a chopé virtumundo , sinon test

http://www.libellules.ch/dotclear/index.ph…nfixer-errosafe

oups j avais pas vu que tu avais deja passer vundofix :pt1cable: , je penche pour un rootkit qui planque un " trojan downloader" , nod detect et supprime certainement a chaque fois les saloperie ( virtumondo etc ) que ce downloader telecharge a partir de serveur sur le web . .

essai un antirootkit :wink:

Va voir ce sujet tu trouveras une section sur la désinfection (section 4)
Je vais regarder pour ton hijackthis.

Tu pourrais regarder ce qui se lance dans msconfig en mode normal et en mode sans échec et voir s’il y a des choses en plus qui apparaissent en plus en mode sans échec (mets des captures si tu veux. :jap:

Absolument rien sur le log HijackThis :neutre:

Fais en un en mode sans échec à tout hasard.( :jap: et mets le ici :ane: )

antirootkit

le plus simple mais moyennement efficace

blacklight >>http://www.f-secure.com/blacklight/

les meilleurs mais il faut certaines connaissance en infos

http://www.open-files.com/forum/index.php?showtopic=31049[/url] :super: >>> site officiel [url=http://www.rku.xell.ru/?l=e&a=dl]http://www.rku.xell.ru/?l=e&a=dl

http://www.gmer.net/index.php

:hello:

essais rustbfix simple efficace et automatic a télecharger

Télécharge Rustbfix (par ejvindh) http://www.uploads.ejvindh.net/rustbfix.exe
Sauvegarde-le sur ton Bureau.
Double clique rustbfix.exe afin de lancer l’outil.
Si une infection Rustock.b est détectée, une invite t’indiquera qu’il est nécessaire de redémarrer le PC. Ce redémarrage pourrait être plus long que d’habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s’ouvriront : (C:\avenger.txt & C:\Rustbfix\pelog.txt).

Hello à tous,
Ca fait plaiz de voir que tant de monde soit concerné par mon probleme :love:
Pour Juju251 :jap: , je te mets les liens pour consulter les screens de ma msconfig en mode sans echec, à savoir que la liste c’est allongée car depuis trois quatres jours j’ai installé 7/8 logiciels genre firewall, anti spy, anti adware enfin un peu tout ce que j’ai pu trouver pour de un me proteger et de deux chercher à eradiquer le boulet, enfin disons meme ‘LES’ boulets :paf: .
http://www.imageshotel.org/images/clemaric…en1msconfig.jpg
http://www.imageshotel.org/images/clemaric…en2msconfig.jpg
Alain77310, j’ai essayé ton idée mais rien de plus, merci.
Strudll, j’ai consulté et les open-files, c’est vraiment le panard :super: sinon j’ai trouvé un antirootkit et il m’a detecté trois troyens… Non seulement il me les a detecté mais etant donné qu’ils etaient demasqués avec les chemins d’accés, cles de registre ainsi que dans C:/ il n’a pas été dur de les shooter.
Muhahahahahah, on dirait que j’ai reussi à passer à travers, et ceci grace à un autre logiciel aussi, AVG anti-spyware qui m’a shooter encore trois spy…
A l’heure où je vous parle il me semble que mon pc est propre, je vais faire un log de hijackthis apres on verra.
Si tout continu dans ce sens on dirait que je suis passé a travers ce coup ci, mais par contre j’ai des tas de nouveaux logiciels d’installés sur ma becane et j’en suis pas tres friand, je prefere une becane sans trop de fioriture simple et reactive, si j’enumere ce que j’ai pourriez vous me donner votre avis… Je pense que l’on risque de me faire remarquer que mon topic devie un peu et qu’un emplacement dans d’autres categorie serait plus adapté
Spysweeper : là j’ai un doute. :whistle:
Sygate firewall : j’ai jamais eu de firewall et ca m’ennuie de commencer. :super:
AVG anti spyware: qui me semble tres efficace et agreable a utiliser. :love:
Spybot schearch and destroy : on le connait et ca vaut ce que ca vaut. :super:
Windows defender : alors là j’en sais rien :paf:
Ma foi, en réalité, mon profond ressenti est qu’avant on bataillé avec les virus qui nous pourrissé la vie, maintenant ce n’est plus le meme combat les virus ne font plus tant parler d’eux nous nous trouvons face à un nouveau phenomene, les Spyware, adware,grayware et autres saloperie du genre mais qui sont à mon gout plus recccurent et encore plus penible à shooter que mes regretter virus qui au final etait un peu tous bebettes et que j’adorais traquer. Est-ce cela la nouvelle mode ? :jap:
En esperant n’etre pas trop hors-sujet, et surtout en n’oubliant pas de remercier tout ceux qui ont mis leurs griffes sur ce post, et ca fait plaisir de voir qu’il suffit de demander pour avoir des reactions sur ce site. Vous faites honneur à tout le bien que j’ai pu entendre de la communautée de Clubic.
Cordialement, Eric.

Ps : désolé pour les fautes de frappes et fautes d’orthographe mais je ne me relis jamais et ce depuis la plus petite enfance, ce qui m’a couté des mauvaises notes en dictée et dissertation mais bon… Pour les fautes de frappes on va faire passer ça sur le faite que sur mon portable le clavier est moins ‘agréable’ que sur mon fixe :ane:

Voilà un peu de lecture, mon tout dernier log :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:56:32, on 18/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Eric\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {86FEDC29-3BB1-4DB0-BE9D-72F814D714EE} - C:\WINDOWS\system32\awvtr.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AB77B0D4-77E9-427B-A13D-8AAE12E58761} - C:\WINDOWS\system32\geedc.dll (file missing)
O4 - HKLM\…\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\…\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE
O4 - HKLM\…\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKLM\…\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\…\Run: [!AVG Anti-Spyware] “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized
O4 - HKLM\…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\…\RunOnce: [MessengerPlusLiveUninstall] “C:\DOCUME~1\Eric\LOCALS~1\Temp\MsgPlusUninstall.exe” /Cleanup
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\.DEFAULT\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=pavilion&pf=laptop
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/…lscbase9602.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC…n/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.clubechat.net/controls/MsnChat45.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Service de planification Media Center (ehSched) - Unknown owner - C:\WINDOWS\eHome\ehSched.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe


End of file - 6997 bytes

O2 - BHO: (no name) - {86FEDC29-3BB1-4DB0-BE9D-72F814D714EE} - C:\WINDOWS\system32\awvtr.dll (file missing)
O2 - BHO: (no name) - {AB77B0D4-77E9-427B-A13D-8AAE12E58761} - C:\WINDOWS\system32\geedc.dll (file missing)

Ces deux la me derange un peu :pfff: …
Je retrouve de nouveau cette fameuse dll-> geedc qui est declarée comme une saloperie et elle se retrouve encore la :neutre:
Je dois avoir un programme qui me la remet à chaque reboot… :heink:
Any suggestion ? :pt1cable:

Retire les, si il y a un probléme tu les remets ;D

Voilà je les ai eliminé je vais rebooter et voir ce qui se passe :pt1cable:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:05:54, on 18/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Eric\Bureau\HiJackThis_v2.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\…\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\…\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE
O4 - HKLM\…\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\…\Run: [!AVG Anti-Spyware] “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized
O4 - HKLM\…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\.DEFAULT\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=pavilion&pf=laptop
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/…lscbase9602.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC…n/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.clubechat.net/controls/MsnChat45.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Service de planification Media Center (ehSched) - Unknown owner - C:\WINDOWS\eHome\ehSched.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe


End of file - 6560 bytes

:paf: Lol Erdem mais en fait j’crois qu’ils reviennent tout seul les crevures :paf:

Re,
J’viens de r’booter et puis il n’y a rien dans le log d’hijackthis…
A chaque fois que je relancerai un de mes programme je consulterai hijackthis pour savoir quand les deux lignes (BHO) se remettent en place, qu’est-ce que vous en pensez ?
Et puis si ca continue sans que je decouvre pourquoi je crois que je serai obligé de formater… :confused:
Petite question, apres formatage avec leurs saleté de disque de restauration ceux que l’on doit faire apres l’achat d’un pc neuf) et non pas avec mes cds de Windows est-ce que le système repart TOUT propre ou la base de registre reste avec toutes ces entrées ??? :heink:
Merci de la réponse;
Cordialement, Eric.

Bonjour Clemaric ! :hello:

Voilà la procedure à suivre pour traquer le ou les virus dont il est question!

  1. Télécharge AVG antispyware http://www.ewido.net/en/download/ installe le et met le à jours

    Telecharge VirtumundoBegone :

http://www.bleepingcomputer.com/forums/topic18610.html

2)Démarre en mode sans echec voilà la procedure ==>(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu’à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée…)

3 )Lances VirtumundoBeGone en double cliquant sur VirtumundoBeGone.exe et suis les instrcutions qui s’affichent.
Ne t inquiétes pas si tu vois un message bleu “erreur fatale” c’est normal !
Postes le rapport VBG.TXT dans ta prochaine réponse.

  1. Lance AVG anti spyware puis choisis l’onglet Analyse
    Puis l’onglet Paramètres
    Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine
    Reclique sur l’onglet Analyse puis réalise une Analyse complète du système

Si un fichier infecté est détecté en fin d’analyse
Clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous
Enregistre ce fichier texte sur ton bureau

  • Redémarre ton ordi en mode Normal.

5)Télécharge Blacklight (de F-Secure)https://europe.f-secure.com/blacklight/try.shtml et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l’option “Rename” de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

  1. Post ces rapports suivant dans l’ordre :

) AVG Anti-Spyware
2) BlackLight
3) Nouveau rapport HijackThis!
4) VBG.TXT

Bon courage A++