Pb : Trojan Win32 : Trojano 1175 [trj]

Pb : Trojan Win32 : Trojano 1175 [trj] - Sécurité - Windows & Software

Marsh Posté le 05-05-2005 à 19:05:54    

Bonjour à tous  
   
Y a t-il une ame charitable qui pourrait m'aider:  
Avast a détecté un trojan de type Win32 : trojano-1175    
j'ai régulièrement des blocages dans explorer avec des messages de virus  
j'ai téléchargé et lancé hijackthis : et cela donne  
 
Logfile of HijackThis v1.99.1
Scan saved at 19:01:09, on 05/05/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://my-searcher.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0A261981-5087-4BD5-BB1C-2E35FF54882F} - C:\WINDOWS\system32\d3do32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [Systmesy] Systmesy.exe
O4 - HKLM\..\Run: [sysni.exe] C:\WINDOWS\system32\sysni.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [Systmesy] Systmesy.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE25D7DF-7114-45A2-8D48-327587190F81}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netnw.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Windows Service Manager (WSM) - Unknown owner - C:\WINDOWS\System32\winsvc.exe" -service (file missing)
 
 
 
Quelle démarche dois-je suivre SVP  
Rem : Je suis débutant  
je fais de l'informatique que depuis quelques mois!!    
SVP , merci d'avance.
 
Pour Pow-wow : Je pense qu'un Topic est un nouveau sujet donc j'en ai crée un comme tu me la dit.


---------------
lulu la frite
Reply

Marsh Posté le 05-05-2005 à 19:05:54   

Reply

Marsh Posté le 05-05-2005 à 19:40:47    

Salut,  
 
désactive la restauration automatique comme suit :
 
Panneau de configuration --> Système --> Restauration du système --> Désactiver la restauration du système sur tous les lecteurs --> OK
 
Redémarre en mode sans échec (en tapant F8 au démarrage de ton ordinateur), relance Hijackthis et supprimme Les entrées suivantes :
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
 
Puis efface le fichier suivant :
 
ubxpj.dll
 
qui se trouve dans ton C:\Windows
 
Si tu ne vois pas le fichier, active l'affichage des fichiers cachés dans les options d'affichage de l'explorateur Windows.
 
Reboote en mode normal et refais un log Hijackthis.


Message édité par darren le 05-05-2005 à 19:48:41
Reply

Marsh Posté le 05-05-2005 à 19:43:16    

Aussi :
 
apparemment tu utilises Avast Antivirus : METS LE A JOUR!
 
Un AV non mis à jour, ça ne sert à rien si ce n'est consommer des ressources pour le plaisir.
 
Ensuite je te conseille, pour éviter l'installation de Spywares, d'installer SpywareBlaster, freeware qui prévient l'infection et qui marche du tonnerre.

Reply

Marsh Posté le 05-05-2005 à 19:54:36    

:hello:  Lulu la frite
 
 
Télécharge About:Buster
-Lance-le et mets-le à jour et laisse le en attente (ne clique pas "Start" mais "Check for updates" )
 
******************************************************
 
Puis fais ce qui suit:
 
Démarrer->exécuter->taper  services.msc
Double clique "Network Security Service "  
Mets-le en "désactivé" et bien sûr "arrêté"->"Appliquer".  
 
Ensuite fais pareil avec ce service:
 
Windows Service Manager
 
****************************************
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ubxpj.dll/sp.html#68293
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://my-searcher.com/index.htm  
R3 - Default URLSearchHook is missing  
O2 - BHO: (no name) - {0A261981-5087-4BD5-BB1C-2E35FF54882F} - C:\WINDOWS\system32\d3do32.dll  
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [Systmesy] Systmesy.exe  
O4 - HKLM\..\Run: [sysni.exe] C:\WINDOWS\system32\sysni.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [Systmesy] Systmesy.exe  
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netnw.exe (file missing)  
O23 - Service: Windows Service Manager (WSM) - Unknown owner - C:\WINDOWS\System32\winsvc.exe" -service (file missing)  
 
****************************************
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Donne-toi accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
"Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Supprime les dossiers/fichiers en gras si présents
 
Toujours en mode sans echec:
 
C\temp\ <-- supprimer tout le contenu du dossier
C:\windows\temp\ <-- supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier
 
(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)
 
IE > Outils > Options internet  
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".  
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.  
 
Vide la corbeille
 
Lance DEUX fois de suite About:Buster ("Start" )
 
Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir:
Retourne à la fenêtre <Paramètres de dossier> et sélectionne <Ne pas afficher les fichiers cachés ou les fichiers système>.
 
Reboot en mode normal et poste un nouveau log.

Reply

Marsh Posté le 05-05-2005 à 19:56:39    

Salut Pow Wow,  
 
juste pour simplifier la procédure d'effacement des données temporaires (tous les repertoires temp, etc..), il y a CCleaner :
 
Télécharger CCleaner
 
Ca fait exactement ce que tu viens de dire (plus les cookies et quelques autres trucs, c'est paramètrable) mais c'est automatisé et donc plus rapide :)

Reply

Marsh Posté le 05-05-2005 à 20:50:23    

darren a écrit :

Salut Pow Wow,  
 
juste pour simplifier la procédure d'effacement des données temporaires (tous les repertoires temp, etc..), il y a CCleaner :
 
Télécharger CCleaner
 
Ca fait exactement ce que tu viens de dire (plus les cookies et quelques autres trucs, c'est paramètrable) mais c'est automatisé et donc plus rapide :)


 
Merci pour l'info
 
J'ai l'habitude de travailler avec des silex  :lol:

Reply

Marsh Posté le 05-05-2005 à 20:52:07    

No problemo ;)
 
Tu me diras ce que tu en penses.

Reply

Marsh Posté le 05-05-2005 à 21:49:31    

Ok, ça y est
 
J'ai suivis à la lettre la démarche, et j'sais pas pourquoi, mais je commence à retrouvé le sourire. :)  
Juste 2 petits accros, car en supprimant le contenu du dossier C:Windows\Temp, le fichier :"JETBOC7.tmp" n'a pas voulut s'éffacer, un message me dis qu'il est impossible de le supprimer car cette ressource est utiliser par une autre personne ou un autre programme. Esperons que c'est un de mes programmes!!
 
Et autre chose, je n'ai pu redémarrer mon ordi en mode sans échec et c'est pas faute d'avoir appuyer plusieurs fois sur F8 au démarrage bien sur. Je ne sais pas s'il y a un rapport, mais j'ai un vieux "coucou" que l'on ma généreusement donner pour que je puisse avoir accès à internet. J'ai donc effectué les manipulations en Mode Normal? J'espère que ce n'est pas trop grave???
 
Voici le nouveau log:
Logfile of HijackThis v1.99.1
Scan saved at 21:29:27, on 05/05/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eoamm.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eoamm.dll/sp.html#68293
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eoamm.dll/sp.html#68293
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE25D7DF-7114-45A2-8D48-327587190F81}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netnw.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Windows Service Manager (WSM) - Unknown owner - C:\WINDOWS\System32\winsvc.exe" -service (file missing)
 
et celui de About:Buster :
Scanned at: 21:23:01   on: 05/05/2005
 
 
-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 19
 
 
Removed Data Streams:
C:\WINDOWS\Q319580.log:iwzfh
 
 
Removed 2 Random Key Entries
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!
 
-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 19
 
 
Removed Data Streams:
C:\WINDOWS\Q319580.log:iwzfh
 
 
Attempted Clean Of Temp folder.
Pages Reset... Done!
 
 
 
 


---------------
lulu la frite
Reply

Marsh Posté le 05-05-2005 à 22:10:15    

Apparemment ça n'a quasiment rien changé.
 
Il faudrait que tu puisses démarrer en mode sans échec.

Reply

Marsh Posté le 05-05-2005 à 22:21:28    

:hello:  
 
C'est mieux, mais pas encore ça.
 
Démarrer->exécuter->taper  services.msc
Double clique "Network Security Service "  
Mets-le en "désactivé" et bien sûr "arrêté"->"Appliquer".  
 
Ensuite fais pareil avec ce service:
 
Windows Service Manager  
 
 
 
Lance HJT, coche et fixe:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eoamm.dll/sp.html#68293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eoamm.dll/sp.html#68293
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eoamm.dll/sp.html#68293  
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netnw.exe (file missing)
O23 - Service: Windows Service Manager (WSM) - Unknown owner - C:\WINDOWS\System32\winsvc.exe" -service (file missing)
 
Redémarre en mode sans echec (pour le mode sans echec essaye F5 au lieu de F8.)
 
Supprime les fichiers en gras si présents
 
Nettoie une nouvelle fois les dossiers Temp ou utilise ccleaner comme te le conseillais Darren.
 
Vide la corbeille
 
Lance DEUX fois de suite About:Buster ("Start" )
 
Redémarre et nouveau log.
 
PS: si les 2 lignes 023 ne disparaissent pas, il faudra qu'on passe par le registre

Reply

Marsh Posté le 05-05-2005 à 22:21:28   

Reply

Marsh Posté le 05-05-2005 à 22:22:33    

Je te redonne l'URL de Ccleaner : CCleaner

Reply

Marsh Posté le 05-05-2005 à 23:17:06    

salut pow wow
je pense qu il i a quelque chose de cacher la
F2 - REG:system.ini: Shell=Explorer.exe,  
pour voir apres user init, et prog demarrage
 
Télécharger ceci http://www.bleepingcomputer.com/files/reglook.php
, le lancer  
ensuite retourne dans le dossier ou tu a mis le prog et lance le nouveau exe que tu vois(RR4734exe)
la un fichier log se cre


---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
Reply

Marsh Posté le 05-05-2005 à 23:23:24    

Salut balltrap34
 
J'avais un énorme doute sur cette ligne.
Mais comme on dit, dans le doute abstiens-toi...
Je préférais laisser tel quel, quitte à demander assistance à Acrobaze.
 
En tout cas merci pour l'info.
 
Lulu la verra aussi et peux suivre tes directives
 
Je ne connais pas cet utilitaire.
 
 :hello:

Reply

Marsh Posté le 05-05-2005 à 23:28:20    

oki
mais la virgule juste apres signifie qu il y a quelque chose


---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
Reply

Marsh Posté le 05-05-2005 à 23:34:49    

Voila, j'ai suivis les démarches,
la Tourche F5 au démarrage fonctionne (merci)
Pour ma part, je ne vois plus les 2 lignes 023?
J'ai télécharger Ccleaner et nettoyer
 
Voici le nouveau log :
 
Logfile of HijackThis v1.99.1
Scan saved at 23:06:18, on 05/05/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
 
log Aboutbuster :
 
Scanned at: 23:12:38   on: 05/05/2005
 
 
-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 19
 
No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!
 
-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 19
 
No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!
 
Si j'osai vous embêter encore un peu: j'ai ma page d'internet explorer qui se met toute seule lors du démarrage de l'ordi ? SVP , comment fait-on pour arrêter le processus?


---------------
lulu la frite
Reply

Marsh Posté le 05-05-2005 à 23:40:20    

donc je pense avoir compris après avoir lu le message de balltrap34,
c'est surement a cause de cette ligne qu'internet démarre tout seul???
 
 
F2 - REG:system.ini: Shell=Explorer.exe
 


---------------
lulu la frite
Reply

Marsh Posté le 05-05-2005 à 23:40:24    

:hello:  
 
C'est nettement mieux  
 
Fais voir la manip que préconise balltrap34
 
http://forum.hardware.fr/forum2.ph [...] 2#t2021157

Reply

Marsh Posté le 05-05-2005 à 23:49:51    

J'ai fais la manip que Balltrap préconise, mais il me dit :
Erreur d'application:
"L'instruction d'un emplacement emploi l'adresse mémoire d'un autre et ne peut lu.


---------------
lulu la frite
Reply

Marsh Posté le 05-05-2005 à 23:52:22    

lulu110 a écrit :

J'ai fais la manip que Balltrap préconise, mais il me dit :
Erreur d'application:
"L'instruction d'un emplacement emploi l'adresse mémoire d'un autre et ne peut lu.


 
Bon, à part cette ligne F2, le reste est OK
 
Je ne connais pas du tout cet utilitaire, envoie lui peut-être un MP pour solliciter son aide.
 
Désolé, peu pas faire mieux

Reply

Marsh Posté le 06-05-2005 à 00:01:29    

Bon, en tout cas,
 
Un grand merci  à toi Pow wow, je n'ai plus de bog ni de blocages et surtout, je n'ai plus de sirène d'alarme me disant "Attention Virus".  
Encore merci.


---------------
lulu la frite
Reply

Marsh Posté le 06-05-2005 à 00:30:06    

non
c est cette ligne qui lance internet
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\Internet Explorer\IEXPLORE.EXE  
 
et pour le fichier a telecharger tu le telecharge tu le decompresse et tu clik sur reglog exe et la tu retrouve un log reg.log tu le copie et tu me le donne


---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
Reply

Marsh Posté le 06-05-2005 à 00:32:10    

Pour Balltrap
 
Voici le log demandé:
 
A reg_look by IMM
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
(key has 0 subkeys and 6 value entries - last modified 12:08(UTC) 02/05/2005)
[AppInit_DLLs] = not present!
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(key has 4 subkeys and 31 value entries - last modified 21:00(UTC) 05/05/2005)
[Userinit] = "C:\WINDOWS\system32\userinit.exe,"  (REG_SZ)
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
(key has 0 subkeys and 5 value entries - last modified 17:43(UTC) 01/01/2000)
[Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon"  (REG_SZ)
----------------------------------------
 
???


---------------
lulu la frite
Reply

Marsh Posté le 06-05-2005 à 00:36:52    

non c est bon  


---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed