Supprimer tps1

Gailuron · Novembre 14, 2008, 6:01

Bonjour
Depuis quelques jours, le dossier tps1 s’est crée sur C:\ et automatiquement, il récupère des fichiers jpg qu’il trouve sur mon,ordi, sur le net jusqu’à la saturation de la partition.
J’arrive à effacer les fichier jpg qu’il contient pas pas le dossier tps1 qui est utilisé par une application mais laquelle.
Les images sont automatiquement de nouveau récupérées et ainsi de suite. Ça devient plus qu’énervant.
Bien sur j’ai recherché sur internet et tenté plusieurs méthode pour tenter de supprimer ce fameux tps1 mais rien 'y fait.

Si vous avez une solution efficace, vous aurez droit à toute ma gratitude.

Merci

Voici une copie du rapport hijackthis que je viens de faire :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:24, on 14/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\System\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\System\Avast\aswUpdSv.exe
C:\System\Avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\System\Avast\ashDisp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\RTHDCPL.EXE
C:\System\Seagate\DiscWizard\DiscWizardMonitor.exe
C:\Sauvegarde\Acronis\TrueImageHome\TimounterMonitor.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\System\Logitech\Webcam\LogiTray.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\System\FREENE~1\Amoumain.exe
C:\System\Spybot - Search & Destroy\TeaTimer.exe
C:\System\U-ABIT\uGuru\uGuru.exe
C:\Internet\RogueRemover\RogueRemoverPRO.exe
C:\GPS\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ZapNotes\zapNotesfr.exe
C:\Utilitaires\Glary Utilities\memdefrag.exe
C:\System\Logitech\Webcam\FxSvr2.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\xampplite\apache\bin\apache.exe
C:\Bureautique\EssentialPim\EssentialPIM.exe
C:\Bureautique\EssentialPim\EssentialPIM.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Windows Home Server\WHSTrayApp.exe
C:\WINDOWS\system32\cmd.exe
C:\System\APC PowerChute Personal Edition\mainserv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Utilitaires\Fmrid\fmrid.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Bureautique\PNotes\PNotes.exe
C:\xampplite\mysql\bin\mysqld-nt.exe
C:\Bureautique\OpenOffice\OpenOffice.org 3\program\soffice.exe
C:\System\APC PowerChute Personal Edition\apcsystray.exe
C:\Internet\SpamBayes\bin\sb_tray.exe
C:\Sauvegarde\SyncBack\SyncBack.exe
C:\Bureautique\OpenOffice\OpenOffice.org 3\program\soffice.bin
C:\xampplite\apache\bin\apache.exe
C:\Gravure\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Réseau\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Windows Home Server\WHSConnector.exe
C:\System\Avast\ashMaiSv.exe
C:\System\Avast\ashWebSv.exe
C:\Internet\Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Utilitaires\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.ephemeride.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\System\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BrowserHelper Class - {9A065C65-4EE7-4DDD-9918-F129089A894A} - C:\Program Files\Windows Home Server\WHSDeskBands.dll
O3 - Toolbar: Home Server Banner - {D73E76A3-F902-45BD-8FC8-95AE8E014671} - C:\Program Files\Windows Home Server\WHSDeskBands.dll
O4 - HKLM…\Run: [avast!] “C:\System\Avast\ashDisp.exe”
O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [SkyTel] SkyTel.EXE
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [DiscWizardMonitor.exe] C:\System\Seagate\DiscWizard\DiscWizardMonitor.exe
O4 - HKLM…\Run: [AcronisTimounterMonitor] C:\Sauvegarde\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM…\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM…\Run: [LogitechVideoRepair] C:\System\Logitech\Webcam\ISStart.exe
O4 - HKLM…\Run: [LogitechVideoTray] C:\System\Logitech\Webcam\LogiTray.exe
O4 - HKLM…\Run: [TrueImageMonitor.exe] C:\Sauvegarde\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM…\Run: [Acronis Scheduler2 Service] “C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe”
O4 - HKLM…\Run: [StartCCC] “C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” MSRun
O4 - HKLM…\Run: [WinVNC] “C:\Réseau\UltraVNC\WinVNC.exe” -servicehelper
O4 - HKLM…\Run: [WheelMouse] c:\System\FREENE~1\Amoumain.exe
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\System\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [ABIT uGuruIII] C:\System\U-ABIT\uGuru\uGuru.exe
O4 - HKCU…\Run: [RogueMonitor] C:\Internet\RogueRemover\RogueRemoverPRO.exe /monitor
O4 - HKCU…\Run: [TomTomHOME.exe] “C:\GPS\TomTom HOME 2\HOMERunner.exe”
O4 - HKCU…\Run: [LogitechSoftwareUpdate] C:\System\Logitech\Webcam\ManifestEngine.exe boot
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [ZapNotes] C:\Program Files\ZapNotes\zapNotesfr.exe
O4 - HKCU…\Run: [Glary Memory Optimizer] “C:\Utilitaires\Glary Utilities\memdefrag.exe” /autostart
O4 - HKCU…\Run: [Google Update] “C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Update\GoogleUpdate.exe” /c
O4 - HKCU…\Run: [BitTorrent DNA] “C:\Program Files\DNA\btdna.exe”
O4 - HKCU…\Run: [EssentialPIM Pro Portable] “C:\Bureautique\EssentialPim\EssentialPIM.exe” /autorun
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Startup: Fmrid.lnk = C:\Utilitaires\Fmrid\fmrid.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Bureautique\OpenOffice\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: PNotes.lnk = C:\Bureautique\PNotes\PNotes.exe
O4 - Startup: Reminder.lnk = C:\Utilitaires\Reminder\Reminder.exe
O4 - Startup: SpamBayes Tray Icon.lnk = C:\Internet\SpamBayes\bin\sb_tray.exe
O4 - Startup: SyncBack.lnk = C:\Sauvegarde\SyncBack\SyncBack.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Windows Home Server.lnk = ?
O4 - Global Startup: wintp.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\System\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\System\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: claudepec.homeserver.com…
O17 - HKLM\System\CCS\Services\Tcpip…{245358DE-1AED-4A75-A30A-D4D2FAF3F965}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip…{B1EEDA05-AC43-4E7B-8D08-FB6EA8ED2A1B}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampplite\apache\bin\apache.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\System\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\System\Avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\System\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\System\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\System\Avast\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: mysql - Unknown owner - C:\xampplite\mysql\bin\mysqld-nt.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Gravure\CDBurnerXP\NMSAccessU.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Réseau\UltraVNC\WinVNC.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\xampplite\service.exe

–
End of file - 10853 bytes

AngeFMR · Novembre 14, 2008, 7:31

Bonsoir,

Pour un peu de nettoyage, coche et fixe [FixChecked] ces lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.ephemeride.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM…\Run: [SkyTel] SkyTel.EXE
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM…\Run: [LogitechVideoRepair] C:\System\Logitech\Webcam\ISStart.exe
O4 - HKLM…\Run: [LogitechVideoTray] C:\System\Logitech\Webcam\LogiTray.exe
O4 - HKLM…\Run: [TrueImageMonitor.exe] C:\Sauvegarde\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM…\Run: [Acronis Scheduler2 Service] “C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe”
O4 - HKLM…\Run: [StartCCC] “C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” MSRun
O4 - HKLM…\Run: [WinVNC] “C:\Réseau\UltraVNC\WinVNC.exe” -servicehelper
O4 - HKLM…\Run: [WheelMouse] c:\System\FREENE~1\Amoumain.exe
O4 - HKCU…\Run: [ABIT uGuruIII] C:\System\U-ABIT\uGuru\uGuru.exe
O4 - HKCU…\Run: [TomTomHOME.exe] “C:\GPS\TomTom HOME 2\HOMERunner.exe”
O4 - HKCU…\Run: [LogitechSoftwareUpdate] C:\System\Logitech\Webcam\ManifestEngine.exe boot
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [ZapNotes] C:\Program Files\ZapNotes\zapNotesfr.exe
O4 - HKCU…\Run: [Google Update] “C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Update\GoogleUpdate.exe” /c
O4 - HKCU…\Run: [BitTorrent DNA] “C:\Program Files\DNA\btdna.exe”
O4 - HKCU…\Run: [EssentialPIM Pro Portable] “C:\Bureautique\EssentialPim\EssentialPIM.exe” /autorun
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Startup: Fmrid.lnk = C:\Utilitaires\Fmrid\fmrid.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Bureautique\OpenOffice\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: PNotes.lnk = C:\Bureautique\PNotes\PNotes.exe
O4 - Startup: Reminder.lnk = C:\Utilitaires\Reminder\Reminder.exe
O4 - Startup: SpamBayes Tray Icon.lnk = C:\Internet\SpamBayes\bin\sb_tray.exe
O4 - Startup: SyncBack.lnk = C:\Sauvegarde\SyncBack\SyncBack.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Windows Home Server.lnk = ?
O4 - Global Startup: wintp.exe

Cela t’est-il arrivé suite à une installation, une configuration ou un téléchargement particulier ?

Ensuite qu’as-tu fait concrètement pour nettoyer ton pc ?
As-tu scanné ta machine avec les ‘nettoyeurs’ en mode Sans Echec ?

Gailuron · Novembre 14, 2008, 7:52

Bonsoir
Merci pour ton aide.

Je pense que ce fichier est venu suite à un clic sur une pièce jointe à un mail.

Pour tenter de nettoyer mon pc j’ai suivi les indications du message 6 de ce lien :

www.commentcamarche.net…

J’ai fait cela en mode sans échec.

le nouveau rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:21, on 14/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\System\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\System\Avast\aswUpdSv.exe
C:\System\Avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\System\Avast\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\System\Seagate\DiscWizard\DiscWizardMonitor.exe
C:\Sauvegarde\Acronis\TrueImageHome\TimounterMonitor.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\System\Spybot - Search & Destroy\TeaTimer.exe
C:\Internet\RogueRemover\RogueRemoverPRO.exe
C:\System\Logitech\Webcam\FxSvr2.exe
C:\Utilitaires\Glary Utilities\memdefrag.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\xampplite\apache\bin\apache.exe
C:\System\APC PowerChute Personal Edition\mainserv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Windows Home Server\WHSTrayApp.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\cmd.exe
C:\xampplite\mysql\bin\mysqld-nt.exe
C:\Bureautique\OpenOffice\OpenOffice.org 3\program\soffice.exe
C:\System\APC PowerChute Personal Edition\apcsystray.exe
C:\Gravure\CDBurnerXP\NMSAccessU.exe
C:\Bureautique\OpenOffice\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Réseau\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Windows Home Server\WHSConnector.exe
C:\xampplite\apache\bin\apache.exe
C:\System\Avast\ashMaiSv.exe
C:\System\Avast\ashWebSv.exe
C:\Internet\Firefox\firefox.exe
C:\Internet\Thunderbird\thunderbird.exe
C:\Utilitaires\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\ftp.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\System\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BrowserHelper Class - {9A065C65-4EE7-4DDD-9918-F129089A894A} - C:\Program Files\Windows Home Server\WHSDeskBands.dll
O3 - Toolbar: Home Server Banner - {D73E76A3-F902-45BD-8FC8-95AE8E014671} - C:\Program Files\Windows Home Server\WHSDeskBands.dll
O4 - HKLM…\Run: [avast!] “C:\System\Avast\ashDisp.exe”
O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [DiscWizardMonitor.exe] C:\System\Seagate\DiscWizard\DiscWizardMonitor.exe
O4 - HKLM…\Run: [AcronisTimounterMonitor] C:\Sauvegarde\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM…\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\System\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [RogueMonitor] C:\Internet\RogueRemover\RogueRemoverPRO.exe /monitor
O4 - HKCU…\Run: [Glary Memory Optimizer] “C:\Utilitaires\Glary Utilities\memdefrag.exe” /autostart
O4 - HKUS\S-1-5-18…\Run: [DWQueuedReporting] “C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe” -t (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [DWQueuedReporting] “C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe” -t (User ‘Default user’)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\System\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\System\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: claudepec.homeserver.com…
O17 - HKLM\System\CCS\Services\Tcpip…{245358DE-1AED-4A75-A30A-D4D2FAF3F965}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip…{B1EEDA05-AC43-4E7B-8D08-FB6EA8ED2A1B}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampplite\apache\bin\apache.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\System\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\System\Avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\System\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\System\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\System\Avast\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: mysql - Unknown owner - C:\xampplite\mysql\bin\mysqld-nt.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Gravure\CDBurnerXP\NMSAccessU.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Réseau\UltraVNC\WinVNC.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\xampplite\service.exe

–
End of file - 7079 bytes

AngeFMR · Novembre 14, 2008, 10:25

Bon ok,

Rien ne paraît suspect sur ton rapport, en revanche je ne vois aucune ‘désactivation des points de restauration’ ou analyse par l’antivirus dans la procédure. As-tu fait cela également avant tes scans ?

Pour désactiver la restauration :
Touche Windows + pause > onglet Restauration du système > cocher la case désactiver la restauration.

Ensuite, télécharge Spybot[/url], [url=http://www.clubic.com/telecharger-fiche12797-ad-aware-2008.html]Ad-aware, mets les à jour tout comme ton antivirus et repasse en Mode Sans Echec.
Une fois sous ce mode, fais les fonctionner en analyse complète [car dans Ad-aware tu as le choix pour une analyse rapide], en + de MAM et Ccleaner, antivirus compris [Ca prendra assez de temps]

Et si au reboot de ton pc, le souci persiste, suis cette procédure-ci :

Pour commencer suivre le tuto de Malekal:
http://www.malekal.com/tutorial_aboutbuster.php

#Ensuite ,télécharges et installes :
Killbox de Option^Explicit

Sélectionnes entièrement la liste ci-dessous:

C:\WINDOWS\system32\MDTC~1.EXE

—> et tu fais clic droit / copier

Ouvres killbox

Sélectionne “delete on reboot”
Clique sur le menu “File” -> “Past from clip board”
Clique sur All Files
Clique sur la croix rouge et et blanche
Répond yes et laisse redémarrer ton pc.
N’hésite pas à consulter l’aide

NOTE: Si tu reçois le message “PendingFileRenameOperations Registry Data has been removed by external process!” et que l’ordinateur ne redémarre pas, redémarre le manuellement —> Menu Démarrer / arreter / redémarrer l’ordinateur

#Relance HijackThis, coche ces lignes :

O2 - BHO: (no name) - {011592DF-4B00-02DF-32C7-24F9FCF685FA} - C:\WINDOWS\system32\vzm.dll (file missing)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: (no name) - {1401D137-04B7-416A-DEDD-35F8BC1DC7A8} - C:\WINDOWS\system32\fctlm.dll (file missing)
O2 - BHO: (no name) - {43467384-F004-B0D1-32E2-C3E7AD1298AC} - C:\WINDOWS\system32\dkszpcf.dll (file missing)
O2 - BHO: (no name) - {442D4D37-CAE0-8B33-DB5F-AD31C0A7C7A8} - C:\WINDOWS\system32\eapjvgcv.dll (file missing)
O2 - BHO: (no name) - {444FAA1A-7AC4-6E1E-F14B-4C3FA176C9A7} - C:\WINDOWS\system32\lvjvpnhe.dll (file missing)
O2 - BHO: (no name) - {45F51E5F-93DF-D105-E1AC-A7D11EC6CBF2} - C:\WINDOWS\system32\qozblon.dll (file missing)
O2 - BHO: (no name) - {4983A680-2A5F-618D-6BCA-140A63CBC7F7} - C:\WINDOWS\system32\mlwej.dll (file missing)
O2 - BHO: (no name) - {4B6BF84E-29CD-3946-A243-1C0A83D1C2F0} - C:\WINDOWS\system32\jiciil.dll (file missing)
O2 - BHO: (no name) - {859862AF-E17C-A4AB-17B4-D35676BF05F5} - C:\WINDOWS\system32\xyb.dll (file missing)
O2 - BHO: (no name) - {9B1F5E66-CF8D-C607-A2DC-B6DEBDB305C0} - C:\WINDOWS\system32\goglecip.dll (file missing)
O2 - BHO: (no name) - {AC2364E9-B66C-A5EF-07D4-85B3C85572A8} - C:\WINDOWS\system32\ivqprct.dll (file missing)
O2 - BHO: (no name) - {B9272044-F997-B010-FEDE-952291A564FD} - C:\WINDOWS\system32\rqagsovm.dll (file missing)
O2 - BHO: (no name) - {C196AFB1-2E66-6FBA-5304-18FA7D384AF3} - C:\WINDOWS\system32\mfxgz.dll (file missing)
O2 - BHO: (no name) - {C299B137-62E7-7662-8F9D-543E70EB41A4} - C:\WINDOWS\system32\biuprcr.dll (file missing)
O2 - BHO: (no name) - {C41ADC4D-5893-494E-F27E-6FBDA9E041FA} - C:\WINDOWS\system32\wfqabys.dll (file missing)
O2 - BHO: (no name) - {CAE8696D-BEEE-F46A-D528-8F73545F4EF6} - C:\WINDOWS\system32\ceygxwd.dll (file missing)
O2 - BHO: (no name) - {DAFCFA52-7CD9-6652-B0BC-430F13BD51A4} - C:\WINDOWS\system32\kdj.dll (file missing)
O2 - BHO: (no name) - {FC8124B6-AD63-B7B2-5534-CB3731FC27F6} - C:\WINDOWS\system32\uarqm.dll (file missing)
O2 - BHO: (no name) - {FFA43F6D-E7E4-A130-8199-D4E61DAD76A5} - C:\WINDOWS\system32\xkzrkexh.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKCU\..\Run: [Znjf] C:\WINDOWS\system32\MDTC~1.EXE
O4 - Global Startup: wintp.exe
O20 - AppInit_DLLs:

Puis cliques sur le bouton Fix Checked

#Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
Poste le rapport ici
Fais un nouveau scan HijackThis et poste son nouveau rapport
Poste aussi le rapport (fichier Ab LogFile.Txt) de About Buster

Mais entre les 2 procédures, dis moi ce qu’il en est
Edité le 14/11/2008 à 22:37

Gailuron · Novembre 15, 2008, 7:22

Bonjour

Je n’ai pas activé la fonction de restauration du système et j’ai passé l’antivirus avant de faire quoi que ce soit.

Par contre, je viens d’allumer mon pc et je viens de supprimer sans problème ce fameux dossier alors qu’hier encore impossible de le supprimer un message indiquant qu’il était utilisé par une application.

Pour l’instant, il n’est pas revenu. j’espère que cela va durer. J’aimerais bien savoir comment il est arrivé.

Meme après un redémarrage; tps1 n’est pas revenu. Pourvu que ça dure.

Je te tiens au courant et merci à toi.
Edité le 15/11/2008 à 07:38

AngeFMR · Novembre 15, 2008, 11:46

D’accord.
Je t’en prie :jap:

Gailuron · Novembre 16, 2008, 8:40

Bonjour

2ème jour sans TPS1, super :super:

J’espère ne jamais le revoir.

Merci pour ton aide et bon dimanche :jap:

AngeFMR · Novembre 16, 2008, 2:35

Héhé, comme quoi
Mais y’a pas de quoi Galluron

Merci, bon Dimanche à toi également
Edité le 16/11/2008 à 14:35

Plusio · Décembre 11, 2008, 3:05

Bonjour,

Je n’ai pas l’habitude des forums, et je viens de faire une boulette: aller voir les options sans avoir ‘copié’ le texte que j’avais déjà préparé. Donc, je recommence…:@! Ah, si j’avais su qu’il fallait sauvegarder!

J’ai exactement ce même problème de répertoire ‘tps1’ et de fichiers ‘.jpg’, et je suis étonné de ne pas arriver à mettre un nom sur ce virus, ni à trouver une méthode systématique pour l’enlever. Chaque fois que j’ai vu le problème résolu, c’est grâce à un ‘pro’, qui a accompagné le problème du début à la solution, en potassant des ‘logs’ assez hermétiques pour le profane que je suis. Bravo à eux, et surtout chapeau pour leur gentillesse!

J’aimerai bien sûr traiter mon ordinateur également: quelqu’un peut-il m’accompagner? Par où commencer? Faut-il ouvrir un nouveau sujet dans ce forum? Puis, ce sera du pas à pas, je pense.
Merci par avance pour votre aide.

AngeFMR · Décembre 11, 2008, 7:51

Bonsoir Plusio,

Inscrit depuis 2005, et 1er message alors

Etant donné que tu as le même souci, ce n’est pas gênant de rester sur le même sujet.
As-tu essayé la méthode que j’ai donné dans un post précédent ?

Pourrais-tu poster un rapport d’HijackThis qu’on puisse voir si qqch d’anormal apparaît.
Pour ce faire une aide >> ici <<

Plusio · Décembre 12, 2008, 1:19

Bjr,

Eh oui, jamais posté, car inutile jusqu’à ce jour, mais je viens de tps en tps même déconnecté, pour trouver des solutions;)

Et aujourd’hui, je ne pense pas savoir faire tout seul. Merci pour ton aide

J’ai deux PC, un fixe et un portable. Je voulais tout traiter depuis le fixe, mais ce matin, ce n’est carrément plus possible, car je ne peux plus frapper à vitesse normale, et en ce moment, le clavier me semble même bloqué! C’est ce fixe qui a le pb de tps1.
Il est pourtant équipé depuis longtemps de AVAST, TuneUp et Spybot, régulièrement mis à jour…

J’ai déjà suivi le tuto de Malekal, téléchargé et fais passer Aboutbuster, mais sans grand résultat car la version que j’ai téléchargé ne semble pas traiter, mais seulement faire un état des lieux. Ci-dessous le LogFile.
Je viens de télécharger Ccleaner, AdAware et Hijackthis, et je n’ai pas trouvé MAM, évoqué dans ton post du 14/11/08.

AboutBuster 6.07
Scan started on [11/12/2008] at [01:41:58]

No Files Found!

Scan was COMPLETED SUCCESSFULLY at 01:44:34

Je ne suis pas sur d’avoir tout compris, mais je te donne ci-dessous la liste de ce que je vais faire. Je reste connecté par mon portable pour suivre tes interventions si besoin.

J’installe les joujous ci-dessus, je les actualise,
puis je me déconnecte d’Internet,
je désactive les point de restauration,
je passe en mode sans echec,
je repasse Spybot, Avast et je fais travailler AdAware et Hijackthis.
Puis je posterai le log

Bon programme. Je vais donc lancer tout ça avant de déjeuner!!

A très bientôt

AngeFMR · Décembre 12, 2008, 2:12

Bonjour Plusio

Très bon programme.

Concernant MAM, regarde ici. D’ailleurs tu peux l’ajouter à ton programme.

Bonne désinfection.

Plusio · Décembre 12, 2008, 3:37

J’ai l’impression que ça devient sérieux: la partition était quasiment pleine (10Go du au ‘mal’, et le reste occupé par divers fichiers sur 20Go au total). impossible de faire mes installations.
J’ai fait agir Partition Magic pour augmenter cette partition, et lorsque ça m’a été demandé, j’ai dû faire redémarrer l’ordi.
Une bonne partie du travail était fait (au moins 60-70%) mais je n’ai pas surveillé jusqu’au bout), et j’ai retrouvé ordi rebooté, arrêté avant le mot de passe utilisateur. Impossible de le saisir.

J’ai d’abord pensé que les piles de mon clavier/souris sans fil étaient fatiguées, en fait le récepteur n’était plus allumé. Je vais donc voir si j’ai un clavier à la cave…

J’ai téléchargé MMA depuis mon portable.

Je te dirai.

Plusio · Décembre 12, 2008, 4:47

Re-bjr,

Vu la tournure que prenaient les évènements, et ayant trouvé un clavier, j’ai vite installé Hijack, Ccleaner, AdAware (mis à jour dans la foulée), et MAM, sans supprimer les points de restauration, et en mode normal.
Parce que ça m’a été proposé, j’ai fait un contrôle rapide MAM, et supprimé 2 virus installés 6 fois: 2 fois Trojan.Log et 4 fois Trojan.Agent (v log ci-dessous). tps1 reste impossible à supprimer. Je continue. En attendant, voici les logs immédiats (et pas en mode sans echec) de Hijack et de MAM

Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:35, on 12/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL$ACT7\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wuauclt.exe
H:\Program Files\SecCopy\SecCopy.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\ftp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.neuf.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfr.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [ACT_APL] “C:\Program Files\ACT\ACT for Windows\ACT_APL.exe”
O4 - HKLM…\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKCU…\Run: [Second Copy] “H:\Program Files\SecCopy\SecCopy.exe”
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: wintp.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Attach Web page to ACT! contact - {6F431AC3-364A-478b-BBDB-89C7CE1B18F6} - mscoree.dll (file missing)
O9 - Extra ‘Tools’ menuitem: Attach Web page to ACT! contact… - {6F431AC3-364A-478b-BBDB-89C7CE1B18F6} - mscoree.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com…
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - dx.mastacash.com…
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com…
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe (file missing)
O23 - Service: Iomega Active Disk (IOMEGA_ACTIVE_DISK_SERVICE) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe

–
End of file - 7172 bytes

et MAM, en 2 logs, l’un avant suppression et l’autre après:
Malwarebytes’ Anti-Malware 1.31
Version de la base de données: 1492
Windows 5.1.2600 Service Pack 3

12/12/2008 16:29:31
mbam-log-2008-12-12 (16-29-31).txt

Type de recherche: Examen rapide
Eléments examinés: 57413
Temps écoulé: 4 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\BitDownload (Trojan.Lop) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\BitDownload\settings.ini (Trojan.Lop) -> Quarantined and deleted successfully.
C:\wintp2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\wintp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Plusio\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Plusio\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.

Malwarebytes’ Anti-Malware 1.31
Version de la base de données: 1492
Windows 5.1.2600 Service Pack 3

12/12/2008 16:29:24
mbam-log-2008-12-12 (16-29-07).txt

Type de recherche: Examen rapide
Eléments examinés: 57413
Temps écoulé: 4 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\BitDownload (Trojan.Lop) -> No action taken.

Fichier(s) infecté(s):
C:\Program Files\BitDownload\settings.ini (Trojan.Lop) -> No action taken.
C:\wintp2.exe (Trojan.Agent) -> No action taken.
C:\wintp.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Plusio\Cookies\MM2048.DAT (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Plusio\Cookies\MM256.DAT (Trojan.Agent) -> No action taken.

Voila pour l’instant. Je continue en supprimant les points de restauration, je suppose qu’il faut “désactiver la restauration du système sur tous les lecteurs”, puis démarrer en 'Mode sans echec". Et enfin, lancer tous ces outils.

A plus tard.

Plusio · Décembre 12, 2008, 5:53

Au passage, j’ai été invité à modifier des éléments importants du registre, sur invitation Spybot. J’ai refusé de modifier autocheck * par autocheck *:, puis j’ai également refusé de changer autocheck * par autocheck *\isdelete\ . En fait, je ne sais pas ce dont il s’agit, et j’imagine qu’il y a des risques “d’aider” le virus…

Autre manifestation désagréable du ‘mal’: lorsque j’essaie d’appeler le centre ‘Aide et support’, pour désactiver les points de restauration, je n’y arrive pas, bien que le voyant d’activité du processeur clignote, voire devient rouge permanent.

Je suis débrouillé tt de mme pour désactiver la restauration du système.

A suivre…

AngeFMR · Décembre 12, 2008, 7:11

Ok,

Donc, le ‘mal’ grignote du terrain on dirait.

Dans ton rapport HJT, fixe ces lignes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.neuf.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfr.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - Global Startup: wintp.exe
O9 - Extra button: Attach Web page to ACT! contact - {6F431AC3-364A-478b-BBDB-89C7CE1B18F6} - mscoree.dll (file missing)
O9 - Extra ‘Tools’ menuitem: Attach Web page to ACT! contact… - {6F431AC3-364A-478b-BBDB-89C7CE1B18F6} - mscoree.dll (file missing)
Analyzerdetails
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - dx.mastacash.com…

Simple question ton pc est-il partitionné ?

Je t’aurai bien dirigé vers ComboFix, mais si tu ne l’as jamais utilisé, ça peut être déstabilisant [vois par toi même]
Par contre, + haut tu m’as dit avoir utilisé AboutBuster, mais as-tu usé de Killbox ?

guigui14100 · Décembre 12, 2008, 7:22

Salut

Utilise [Lop S&D[/url] en mode 1url=http://guigui14100.web.officelive.com/tutoriallopsd.aspx ](http://eric.71.mespages.googlepages.com/LopSD.exe)

Plusio · Décembre 12, 2008, 9:29

Tout ça prend pas mal de temps. Je suis en train de passer AVAST en 'minutieux, puis j’ai tous les autres, Hjk étant assez rapide, je le ferai dès que Avast aura fini, probablement ds 2 heures, en fixant les lignes que tu m’as données. Puis je passerai les autres AdAware, et MAM en mode fin. Et je t’enverrai les posts.

Mon DD est en effet partitionné. J’ai utilisé AboutBuster, mais uniquement pour constater qu’il n’y avait rien, et d’ailleurs la dernière version ne semble pas proposer de corrections. Je n’ai pas utilisé Killbox, ni rien d’autre encore. Je ferai au fur et à mesure, mais je suis bien sûr avec tous ces outils proposés que ma configuration va deveir plus saine… Merci pour toutes ces propositions.

Merci aussi à Guigui.
Je remets à plus tard, mais je retiens ce logiciel probablement utile pour supprimer mes troyan.lop s’il en reste.

Des nouvelles dès que je peux. Merci encore

AngeFMR · Décembre 12, 2008, 9:31

Pas de quoi :jap:

Plusio · Décembre 13, 2008, 1:35

En fait pour Avast, il a fallu plus de 6 heures, je suis allé dormir
Rien de particulier dans le log, tous les items étaient marqués ‘scan impossible’.

Pendant ce scan, j’ai lu les logs MAM que je t’avais fait parvenir sans les lire, et je me suis aperçu que les fichiers .log que j’avais supprimés dans le 1er scan, étaient réapparus dans le 2ème refait juste après! Ils devraient donc toujours être là!

Lancé HJK en fixant les lignes indiquées.
Log après HJK:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:45, on 13/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [ACT_APL] “C:\Program Files\ACT\ACT for Windows\ACT_APL.exe”
O4 - HKLM…\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM…\RunOnce: [Malwarebytes’ Anti-Malware] C:\Program Files\Malwarebytes’ Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU…\Run: [Second Copy] “H:\Program Files\SecCopy\SecCopy.exe”
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\Run: [Real One Player] realone.exe (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com…
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com…
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe (file missing)
O23 - Service: Iomega Active Disk (IOMEGA_ACTIVE_DISK_SERVICE) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe

–
End of file - 5854 bytes

Lancé AdAware, et arrêté au milieu, car très long aussi. En effet le répertoire tps1 n’est pas encore supprimé et doit contenir quelques 40-50000 fichiers!
J’ai donc arrêté en cours de route, supprimé les 9 des 12 infections déjà trouvées, et ignoré les 3 autres. Puis j’ai tenté de supprimer les tps1 depuis l’explorateur. Bingo: disparu!

Relancé AdAware.
A noter que les 9 fichiers supprimés sont encore présents dans le log qui suit
Log AdAware:
Ad-Aware Build
Log File Created on: 2008-12-13 11:46:10
Using Definitions File: C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\core.aawdef
Computer name: PLUSPLUS-WTWLRE
Name of user performing scan: SYSTEM

System information

Number of processors: 1
Processor type: Intel® Pentium® 4 CPU 2.66GHz
Memory Available: 64%
Total Physical Memory: 1341636608 Bytes
Available Physical Memory: 851296256 Bytes
Total Page File Size: 1592340480 Bytes
Available On Page File: 1308397568 Bytes
Total Virtual Memory: 2147352576 Bytes
Available Virtual Memory: 1764294656 Bytes
OS: Microsoft Windows XP Service Pack 3 (Build 2600)

Ad-Aware Settings

Skipping files larger than 1048576 kB
Ignoring infections with lower TAI than: 3

Extended Ad-Aware Settings

Unloading known modules during scan
Ignoring spanned files when scanning cab archives
Reanalyzing results after scanning before displaying results
Trying to unload modules prior to removal
Let Windows remove files currently in use at next reboot
Removing quarantined objects after restore
Deactivating Ad-Watch during scans
Writeprotecting system files after repairs
Include info about ignored objects in log file
Including basic settings in log file
Including advanced settings in log file
Including user and computer name in log file
Create and save WebUpdate log file

Databaseinfo

Version number: 122
Build Number: 0
Build Date and Time: 2008/09/18 08:12:33

Scan Statistics

Method: Full
Scan tracking cookies…: On
Scan ADS filestreams…: Off

Item Scanned: 231383
Infections Detected: 3
Infections Ignored: 9

Scan detailed statistics

Type Critical Total
Process Scan…: 0 0
Registry Scan…: 0 0
Registry PE Scan: 0 0
Hosts File Scan.: 0 0
File Scan…: 0 0
Folder Scan…: 0 0
LSP Scan…: 0 0
ADS Scan…: 0 0
Cookie Scan…: 0 0
File Hash Scan…: 0 0

Infections Found

Family Id: 9999 Name: MRU Object Category: MRU Object TAI:0
Item Id: 1 Value: MRU Path: C:\Documents and Settings\Plusio\Recent Count: 193
Item Id: 2 Value: MRU Registry Key: S-1-5-21-1757981266-2000478354-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603 Count: 12
Item Id: 3 Value: MRU Registry Key: S-1-5-21-1757981266-2000478354-839522115-1003\Software\Microsoft\Internet Explorer\TypedURLs Count: 4

Items Ignored During Scan

Family Id: 563 Name: Redirected hostfile entry Category: Misc TAI:4
Item Id: 500000065 Value: IP Address: 127.0.0.1 Host Name: AIFIND.INFO
Item Id: 500000035 Value: IP Address: 127.0.0.1 Host Name: THEREALSEARCH.COM
Item Id: 500000045 Value: IP Address: 127.0.0.1 Host Name: GREG-SEARCH.COM
Item Id: 500000048 Value: IP Address: 127.0.0.1 Host Name: APPROVEDLINKS.COM
Item Id: 500000052 Value: IP Address: 127.0.0.1 Host Name: VSE-MOE.BIZ
Item Id: 500000073 Value: IP Address: 127.0.0.1 Host Name: FIND4U.NET
Item Id: 500000075 Value: IP Address: 127.0.0.1 Host Name: I-LOOKUP.COM
Item Id: 500000076 Value: IP Address: 127.0.0.1 Host Name: IE-SEARCH.COM
Item Id: 500000078 Value: IP Address: 127.0.0.1 Host Name: ITSEASY.US

Listing of running processes

C:\WINDOWS\SYSTEM32\SMSS.EXE
c:\windows\system32\smss.exe
c:\windows\system32\ntdll.dll
C:\WINDOWS\SYSTEM32\CSRSS.EXE
c:\windows\system32\csrss.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\csrsrv.dll
c:\windows\system32\basesrv.dll
c:\windows\system32\winsrv.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\user32.dll
c:\windows\system32\sxs.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\apphelp.dll
c:\windows\system32\version.dll
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
c:\windows\system32\winlogon.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\authz.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\crypt32.dll
c:\windows\system32\msasn1.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\nddeapi.dll
c:\windows\system32\profmap.dll
c:\windows\system32\netapi32.dll
c:\windows\system32\userenv.dll
c:\windows\system32\psapi.dll
c:\windows\system32\regapi.dll
c:\windows\system32\setupapi.dll
c:\windows\system32\version.dll
c:\windows\system32\winsta.dll
c:\windows\system32\wintrust.dll
c:\windows\system32\imagehlp.dll
c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2help.dll
c:\windows\system32\msgina.dll
c:\windows\system32\comctl32.dll
c:\windows\system32\odbc32.dll
c:\windows\system32\comdlg32.dll
c:\windows\system32\shell32.dll
c:\windows\system32\shlwapi.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\system32\odbcint.dll
c:\windows\system32\shsvcs.dll
c:\windows\system32\sfc.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\ole32.dll
c:\windows\system32\apphelp.dll
c:\windows\system32\winmm.dll
c:\windows\system32\cscdll.dll
c:\windows\system32\rsaenh.dll
c:\windows\system32\dimsntfy.dll
c:\windows\system32\wlnotify.dll
c:\windows\system32\mpr.dll
c:\windows\system32\winscard.dll
c:\windows\system32\wtsapi32.dll
c:\windows\system32\winspool.drv
c:\windows\system32\wgalogon.dll
c:\windows\system32\oleaut32.dll
c:\windows\system32\ntmarta.dll
c:\windows\system32\samlib.dll
c:\windows\system32\wldap32.dll
c:\windows\system32\clbcatq.dll
c:\windows\system32\comres.dll
c:\windows\system32\uxtheme.dll
c:\windows\system32\cscui.dll
c:\windows\system32\xpsp2res.dll
C:\WINDOWS\SYSTEM32\SERVICES.EXE
c:\windows\system32\services.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\ncobjapi.dll
c:\windows\system32\msvcp60.dll
c:\windows\system32\scesrv.dll
c:\windows\system32\authz.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\userenv.dll
c:\windows\system32\umpnpmgr.dll
c:\windows\system32\winsta.dll
c:\windows\system32\netapi32.dll
c:\windows\system32\shimeng.dll
c:\windows\apppatch\acadproc.dll
c:\windows\system32\apphelp.dll
c:\windows\system32\version.dll
c:\windows\system32\eventlog.dll
c:\windows\system32\psapi.dll
c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2help.dll
c:\windows\system32\wtsapi32.dll
C:\WINDOWS\SYSTEM32\LSASS.EXE
c:\windows\system32\lsass.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\lsasrv.dll
c:\windows\system32\mpr.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\msasn1.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\netapi32.dll
c:\windows\system32\ntdsapi.dll
c:\windows\system32\dnsapi.dll
c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2help.dll
c:\windows\system32\wldap32.dll
c:\windows\system32\samlib.dll
c:\windows\system32\samsrv.dll
c:\windows\system32\cryptdll.dll
c:\windows\system32\shimeng.dll
c:\windows\apppatch\acgenral.dll
c:\windows\system32\winmm.dll
c:\windows\system32\ole32.dll
c:\windows\system32\oleaut32.dll
c:\windows\system32\msacm32.dll
c:\windows\system32\version.dll
c:\windows\system32\shell32.dll
c:\windows\system32\shlwapi.dll
c:\windows\system32\userenv.dll
c:\windows\system32\uxtheme.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\system32\comctl32.dll
c:\windows\system32\msprivs.dll
c:\windows\system32\kerberos.dll
c:\windows\system32\msv1_0.dll
c:\windows\system32\iphlpapi.dll
c:\windows\system32\netlogon.dll
c:\windows\system32\w32time.dll
c:\windows\system32\msvcp60.dll
c:\windows\system32\schannel.dll
c:\windows\system32\crypt32.dll
c:\windows\system32\wdigest.dll
c:\windows\system32\rsaenh.dll
c:\windows\system32\scecli.dll
c:\windows\system32\setupapi.dll
c:\windows\system32\dssenh.dll
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
c:\windows\system32\svchost.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\shimeng.dll
c:\windows\apppatch\acgenral.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\winmm.dll
c:\windows\system32\ole32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\oleaut32.dll
c:\windows\system32\msacm32.dll
c:\windows\system32\version.dll
c:\windows\system32\shell32.dll
c:\windows\system32\shlwapi.dll
c:\windows\system32\userenv.dll
c:\windows\system32\uxtheme.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\system32\comctl32.dll
c:\windows\system32\ntmarta.dll
c:\windows\system32\samlib.dll
c:\windows\system32\wldap32.dll
c:\windows\system32\rpcss.dll
c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2help.dll
c:\windows\system32\xpsp2res.dll
c:\windows\system32\clbcatq.dll
c:\windows\system32\comres.dll
c:\windows\system32\apphelp.dll
c:\windows\system32\svchost.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\shimeng.dll
c:\windows\apppatch\acgenral.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\winmm.dll
c:\windows\system32\ole32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\oleaut32.dll
c:\windows\system32\msacm32.dll
c:\windows\system32\version.dll
c:\windows\system32\shell32.dll
c:\windows\system32\shlwapi.dll
c:\windows\system32\userenv.dll
c:\windows\system32\uxtheme.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\system32\comctl32.dll
c:\windows\system32\rpcss.dll
c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2help.dll
c:\windows\system32\xpsp2res.dll
c:\windows\system32\rsaenh.dll
c:\windows\system32\mswsock.dll
c:\windows\system32\hnetcfg.dll
c:\windows\system32\wshtcpip.dll
c:\windows\system32\dnsapi.dll
c:\windows\system32\iphlpapi.dll
c:\windows\system32\winrnr.dll
c:\windows\system32\wldap32.dll
c:\windows\system32\rasadhlp.dll
c:\windows\system32\clbcatq.dll
c:\windows\system32\comres.dll
c:\windows\system32\msi.dll
C:\PROGRAM FILES\LAVASOFT\AD-AWARE\AAWSERVICE.EXE
c:\program files\lavasoft\ad-aware\aawservice.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\program files\lavasoft\ad-aware\ceapi.dll
c:\windows\system32\wininet.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\crypt32.dll
c:\windows\system32\msasn1.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\oleaut32.dll
c:\windows\system32\ole32.dll
c:\windows\system32\shlwapi.dll
c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2help.dll
c:\program files\lavasoft\ad-aware\pkarchive85u.dll
c:\windows\system32\shell32.dll
c:\windows\system32\wldap32.dll
c:\windows\system32\psapi.dll
c:\windows\system32\version.dll
c:\windows\system32\userenv.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\system32\comctl32.dll
c:\windows\system32\rsaenh.dll
c:\windows\system32\netapi32.dll
c:\windows\system32\apphelp.dll
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
c:\windows\system32\svchost.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\shimeng.dll
c:\windows\apppatch\acgenral.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\winmm.dll
c:\windows\system32\ole32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\oleaut32.dll
c:\windows\system32\msacm32.dll
c:\windows\system32\version.dll
c:\windows\system32\shell32.dll
c:\windows\system32\shlwapi.dll
c:\windows\system32\userenv.dll
c:\windows\system32\uxtheme.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\system32\comctl32.dll
c:\windows\system32\ntmarta.dll
c:\windows\system32\samlib.dll
c:\windows\system32\wldap32.dll
c:\windows\system32\xpsp2res.dll
c:\windows\system32\cryptsvc.dll
c:\windows\system32\certcli.dll
c:\windows\system32\atl.dll
c:\windows\system32\crypt32.dll
c:\windows\system32\msasn1.dll
c:\windows\system32\cryptui.dll
c:\windows\system32\netapi32.dll
c:\windows\system32\wininet.dll
c:\windows\system32\wintrust.dll
c:\windows\system32\imagehlp.dll
c:\windows\system32\esent.dll
c:\windows\system32\wbem\wmisvc.dll
c:\windows\system32\vssapi.dll
c:\windows\system32\srsvc.dll
c:\windows\system32\powrprof.dll
c:\windows\system32\clbcatq.dll
c:\windows\system32\comres.dll
c:\windows\pchealth\helpctr\binaries\pchsvc.dll
c:\windows\system32\winsta.dll
c:\windows\system32\dmserver.dll
c:\windows\system32\setupapi.dll
c:\windows\system32\wbem\wbemcore.dll
c:\windows\system32\msvcp60.dll
c:\windows\system32\wbem\esscli.dll
c:\windows\system32\wbem\wbemcomn.dll
c:\windows\system32\wbem\fastprox.dll
c:\windows\system32\ntdsapi.dll
c:\windows\system32\dnsapi.dll
c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2help.dll
c:\windows\system32\wbem\wmiutils.dll
c:\windows\system32\wbem\repdrvfs.dll
c:\windows\system32\wbem\wmiprvsd.dll
c:\windows\system32\ncobjapi.dll
c:\windows\system32\wbem\wbemess.dll
c:\windows\system32\rsaenh.dll
c:\windows\system32\wbem\ncprov.dll
c:\windows\system32\wbem\wbemsvc.dll
c:\windows\system32\apphelp.dll
c:\windows\system32\msi.dll
c:\windows\system32\sxs.dll
C:\WINDOWS\EXPLORER.EXE
c:\windows\explorer.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\browseui.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\user32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\ole32.dll
c:\windows\system32\shlwapi.dll
c:\windows\system32\oleaut32.dll
c:\windows\system32\shdocvw.dll
c:\windows\system32\crypt32.dll
c:\windows\system32\msasn1.dll
c:\windows\system32\cryptui.dll
c:\windows\system32\netapi32.dll
c:\windows\system32\version.dll
c:\windows\system32\wininet.dll
c:\windows\system32\wintrust.dll
c:\windows\system32\imagehlp.dll
c:\windows\system32\wldap32.dll
c:\windows\system32\shell32.dll
c:\windows\system32\uxtheme.dll
c:\windows\system32\shimeng.dll
c:\windows\apppatch\acgenral.dll
c:\windows\system32\winmm.dll
c:\windows\system32\msacm32.dll
c:\windows\system32\userenv.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\system32\comctl32.dll
c:\windows\system32\apphelp.dll
c:\windows\system32\clbcatq.dll
c:\windows\system32\comres.dll
c:\windows\system32\cscui.dll
c:\windows\system32\cscdll.dll
c:\windows\system32\themeui.dll
c:\windows\system32\msimg32.dll
c:\windows\system32\xpsp2res.dll
c:\progra~1\window~3\wmpband.dll
c:\windows\system32\mpr.dll
c:\windows\system32\linkinfo.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\atl.dll
c:\windows\system32\winsta.dll
c:\windows\system32\samlib.dll
c:\windows\system32\setupapi.dll
c:\windows\system32\msi.dll
c:\program files\fichiers communs\adobe\acrobat\activex\pdfshell.dll
c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll
c:\program files\fichiers communs\adobe\acrobat\activex\pdfshell.fra
c:\windows\system32\urlmon.dll
c:\windows\system32\rsaenh.dll
c:\windows\system32\drprov.dll
c:\windows\system32\ntlanman.dll
c:\windows\system32\netui0.dll
c:\windows\system32\netui1.dll
c:\windows\system32\netrap.dll
c:\windows\system32\davclnt.dll
c:\windows\system32\shdoclc.dll
c:\windows\system32\sxs.dll
c:\windows\system32\browselc.dll
c:\windows\system32\mlang.dll
c:\program files\microsoft office\office11\msohev.dll
c:\windows\system32\msgina.dll
c:\windows\system32\odbc32.dll
c:\windows\system32\comdlg32.dll
c:\windows\system32\odbcint.dll
c:\windows\system32\netshell.dll
c:\windows\system32\credui.dll
c:\windows\system32\dot3api.dll
c:\windows\system32\rtutils.dll
c:\windows\system32\dot3dlg.dll
c:\windows\system32\onex.dll
c:\windows\system32\wtsapi32.dll
c:\windows\system32\eappcfg.dll
c:\windows\system32\msvcp60.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\iphlpapi.dll
c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2help.dll
c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\gdiplus.dll
c:\windows\system32\shimgvw.dll
c:\windows\system32\ntmarta.dll
c:\program files\malwarebytes’ anti-malware\mbamext.dll
c:\program files\alwil software\avast4\ashshell.dll
c:\program files\winrar\rarext.dll
c:\progra~1\tuneup~2\sdshelex-win32.dll
c:\program files\filezilla ftp client\fzshellext.dll
c:\windows\system32\mydocs.dll
C:\PROGRAM FILES\LAVASOFT\AD-AWARE\AD-AWARE.EXE
c:\program files\lavasoft\ad-aware\ad-aware.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\oleaut32.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\secur32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\user32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\ole32.dll
c:\windows\system32\version.dll
c:\windows\system32\comctl32.dll
c:\windows\system32\imm32.dll
c:\windows\system32\shell32.dll
c:\windows\system32\shlwapi.dll
c:\windows\system32\comdlg32.dll
c:\program files\lavasoft\ad-aware\lavalicense.dll
c:\windows\system32\wininet.dll
c:\windows\system32\crypt32.dll
c:\windows\system32\msasn1.dll
c:\windows\system32\winmm.dll
c:\windows\system32\oleacc.dll
c:\windows\system32\msvcp60.dll
c:\windows\system32\shfolder.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\system32\uxtheme.dll
c:\windows\system32\setupapi.dll
c:\windows\system32\apphelp.dll
c:\windows\system32\clbcatq.dll
c:\windows\system32\comres.dll
c:\windows\system32\olepro32.dll
c:\windows\system32\rsaenh.dll
c:\program files\lavasoft\ad-aware\lavamessage.dll
c:\windows\system32\ntmarta.dll
c:\windows\system32\samlib.dll
c:\windows\system32\wldap32.dll
End of Scan Section

Je n’ai rien fait sur les objets MRU, qui sont probablement les 3 fichiers que j’avais ignoré lors du 1er scan AdAware, parce que je connais pas.

J’ai passé MAM: Aucun nuisible détecté.
Faudrait-il encore que je passe Ccleaner et Killbox?

Combofix: ne m’a pas l’air très difficile à utiliser d’après le tutorial. Si tu es OK pour me faire l’analyse du log, je pourrai le passer aussi.

Bon courage pour l’interprétation de tout ça!