demande d analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

demande d analyse de log

Messagede loyer » 17 Sep 2006, 16:44

bonjour je suis assailli par windowsantivirus 2006
si vous pouvez m aider je vous remercie

voila le log

Logfile of HijackThis v1.99.1
Scan saved at 17:44:28, on 17/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0006)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Application\ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Application\avast\aswUpdSv.exe
E:\Application\avast\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
E:\Application\ahead\InCD\InCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
E:\Application\Anti-Blaxx\Anti-Blaxx.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
E:\Application\DAEMON Tools\daemon.exe
E:\Application\PowerISO\PWRISOVM.EXE
C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
E:\APPLIC~1\avast\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\STEPHANE\Local Settings\Temporary Internet Files\Content.IE5\YQAQJBPQ\cwshredder[1].exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\STEPHANE\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ThrustTSR] "C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe"
O4 - HKLM\..\Run: [InCD] E:\Application\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVidia System Utility] "C:\Program Files\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Anti-Blaxx Manager] E:\Application\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Profiler] "C:\Program Files\Saitek\Software\Profiler.exe"
O4 - HKLM\..\Run: [SaiSmart] "C:\Program Files\Saitek\Software\SaiSmart.exe"
O4 - HKLM\..\Run: [SaiMfd] "C:\Program Files\Saitek\Software\SaiMfd.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Application\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] E:\Application\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] "C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe"
O4 - HKLM\..\Run: [avast!] E:\APPLIC~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Application\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importe ... loader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB41D332-A04E-427F-8382-6BD3B60C2F98}: NameServer = 212.27.39.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{F77E7A8D-3749-45B8-9EBC-703DFAF5A6B7}: NameServer = 212.27.39.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8075C12-49B0-4F1D-B9FD-87DDF36D1DC0}: NameServer = 212.27.39.134
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Application\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Application\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Application\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Application\avast\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Application\ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


a bientot
loyer
 
Messages: 3
Inscription: 17 Sep 2006, 16:41

Messagede nickW » 17 Sep 2006, 21:49

Bonjour et Bienvenue,

J'ai besoin d'un autre log:

Étape 1: Blacklight
Télécharger Blacklight (de F-Secure) depuis la page:
https://europe.f-secure.com/blacklight/try.shtml
(clic sur le bouton bleu "I accept", puis sur "Download Blacklight Beta graphical user interface version")
Enregistrer le fichier sur le bureau.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 2: Blacklight
Double-cliquer sur le fichier blbeta.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!

Il y a eu création sur le Bureau d'un fichier rapport nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)

Envoyer le contenu de ce fichier en réponse.


Après avoir envoyé ce log, il faudra effectuer la manip suivante:

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc
*- de créer un dossier (par exemple: C:\Program Files\HJT)
*- d'y déplacer le fichier HijackThis.exe
*- de renommer le fichier HijackThis.exe ainsi situé dans C:\Program Files\HJT en loyer.exe
Ensuite, pour lancer HijackThis, il faudra faire un double clic sur loyer.exe
Si tu le laisses tel qu'il est actuellement, sur le bureau, pas de sauvegardes aisément exploitables (donc plus aucune possibilité de faire "marche arrière").

A bientôt,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

données blacklight

Messagede loyer » 17 Sep 2006, 22:59

bonjour et merci pour ton aide
voici le contenu du fichier blacklight
09/17/06 23:54:46 [Info]: BlackLight Engine 1.0.46 initialized
09/17/06 23:54:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/17/06 23:54:46 [Note]: 7019 4
09/17/06 23:54:46 [Note]: 7005 0
09/17/06 23:54:48 [Note]: 7006 0
09/17/06 23:54:48 [Note]: 7011 2608
09/17/06 23:54:48 [Note]: 7026 0
09/17/06 23:54:48 [Note]: 7026 0
09/17/06 23:54:50 [Note]: FSRAW library version 1.7.1019
09/17/06 23:56:45 [Note]: 4013 42470
09/17/06 23:56:45 [Note]: 4020 29 65536
09/17/06 23:56:45 [Note]: 4018 29 65536
09/17/06 23:57:05 [Note]: 2000 1006
09/17/06 23:57:32 [Note]: 7007 0


a bientot
loyer
 
Messages: 3
Inscription: 17 Sep 2006, 16:41

Messagede nickW » 18 Sep 2006, 22:49

Bonsoir,

VundoFix
Télécharger VundoFix.exe (par Atribune) depuis:
http://www.atribune.org/ccount/click.php?id=4
Enregistrer le fichier sur le bureau.
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
Cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Envoyer en réponse le contenu du fichier rapport C:\vundofix.txt ainsi qu'un nouveau log HijackThis en précisant si le problème est toujours là.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

vundofix log + hijack log

Messagede loyer » 19 Sep 2006, 22:50

Salut

voici la réponse à ta demande
**************************** log vundofix ***********************************

VundoFix V6.1.5

Checking Java version...

Java version is 1.4.2.2

Java version is 1.4.2.5

Java version is 1.4.2.6

Scan started at 22:39:04 19/09/2006

Listing files found while scanning....

C:\WINDOWS\system32\vtsss.dll
C:\WINDOWS\system32\ssstv.ini
C:\WINDOWS\system32\ssstv.bak1
C:\WINDOWS\system32\ssstv.bak2
C:\Program Files\Fichiers communs\{A8B4AEA9-08A2-1036-0518-050810040021}\services.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\vtsss.dll
C:\WINDOWS\system32\vtsss.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\ssstv.ini
C:\WINDOWS\system32\ssstv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ssstv.bak1
C:\WINDOWS\system32\ssstv.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ssstv.bak2
C:\WINDOWS\system32\ssstv.bak2 Has been deleted!

Attempting to delete C:\Program Files\Fichiers communs\{A8B4AEA9-08A2-1036-0518-050810040021}\services.dll
C:\Program Files\Fichiers communs\{A8B4AEA9-08A2-1036-0518-050810040021}\services.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.1.5

Checking Java version...

Java version is 1.4.2.2

Java version is 1.4.2.5

Java version is 1.4.2.6

Scan started at 22:51:06 19/09/2006

Listing files found while scanning....

C:\WINDOWS\system32\vtsss.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\vtsss.dll
C:\WINDOWS\system32\vtsss.dll Has been deleted!

Performing Repairs to the registry.
Done!

**********************************Log Hijack ******************************



Logfile of HijackThis v1.99.1
Scan saved at 23:45:21, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Application\ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Application\avast\aswUpdSv.exe
E:\Application\avast\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
E:\Application\ahead\InCD\InCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
E:\Application\Anti-Blaxx\Anti-Blaxx.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
E:\Application\DAEMON Tools\daemon.exe
E:\Application\PowerISO\PWRISOVM.EXE
C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
E:\APPLIC~1\avast\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
E:\Application\Azureus\Azureus.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Logitech\Video\AlbumDB2.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\HJT\loyer.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\APPLIC~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Browster BrwIEConnector - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} - C:\WINDOWS\system32\kaqmbxav.dll
O2 - BHO: (no name) - {B823743F-B018-4C1F-9E79-BB529798C846} - C:\WINDOWS\system32\vtsss.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ThrustTSR] "C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe"
O4 - HKLM\..\Run: [InCD] E:\Application\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVidia System Utility] "C:\Program Files\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Anti-Blaxx Manager] E:\Application\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Profiler] "C:\Program Files\Saitek\Software\Profiler.exe"
O4 - HKLM\..\Run: [SaiSmart] "C:\Program Files\Saitek\Software\SaiSmart.exe"
O4 - HKLM\..\Run: [SaiMfd] "C:\Program Files\Saitek\Software\SaiMfd.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Application\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] E:\Application\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] "C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe"
O4 - HKLM\..\Run: [avast!] E:\APPLIC~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Application\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importe ... loader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB41D332-A04E-427F-8382-6BD3B60C2F98}: NameServer = 212.27.39.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{F77E7A8D-3749-45B8-9EBC-703DFAF5A6B7}: NameServer = 212.27.39.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8075C12-49B0-4F1D-B9FD-87DDF36D1DC0}: NameServer = 212.27.39.134
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Application\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Application\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Application\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Application\avast\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Application\ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



et voila
les probleme subsistent la dll vtsss.dll a été une vrai plaie à supprimer mais vundo fix y est parvenu
néanmoins j ai encore l apparition (moins fréquent) des pages d'de "windows antivirus 2006"
j espère que tu pourras trouver une solution
peux tu m expliquer d ou vient vtsss.dll

merci encore de ton aide

Stéphane
loyer
 
Messages: 3
Inscription: 17 Sep 2006, 16:41

Messagede nickW » 20 Sep 2006, 00:19

Bonsoir,

On continue .....

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 5).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser la session Administrateur visible en mode sans échec).

Étape 1: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies
Note: il est inutile de modifier les autres paramètres.

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 2: Java de Sun
Désinstaller toutes les versions obsolètes de Java de Sun dont les failles sont utilisées par les "malveillants".
Version à installer: Java Runtime Environment (JRE) 5.0 Update 8
http://java.sun.com/j2se/1.5.0/download.jsp
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html


Étape 3: ewido anti-spyware
Lancer ewido anti-spyware.
Cliquer sur le menu Update.
Si nécessaire, dans la colonne Settings (à droite), saisir les paramètres du proxy.
Dans le paragraphe Manual Update, cliquer sur le bouton Start update.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 4: VundoFix
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
Cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK


Étape 5: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 6: ewido anti-spyware
Lancer ewido anti-spyware et cliquer sur le menu Scanner.
Cliquer sur l'onglet Settings.
Dans How to act?, cliquer sur Recommended actions et choisir Quarantine.
Dans How to scan?, vérifier que toutes les cases sont cochées.
Dans Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Automatically generate report after scan est coché.
Dans l'onglet Scan, cliquer sur Complete System Scan.
A la fin du scan, cliquer sur Apply all actions
Puis Sauver le rapport (Save Scan Report).


Étape 7: Redémarrage
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido (dans le dossier Reports, lui-même sous-dossier du dossier d'installation d'ewido)
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede frelou » 19 Oct 2006, 12:23

Bonjour a tous.
Je vous conseille Spybot dans votre cas (AntiSpyware).
Avant de l'installer et de nettoyer:
- demarrer en mode sans echec,
- nettoyer (exporter en .reg) les clefs de registre dans HKLM\Software\Microsoft\Windows\Current version\Run
- redemarrer et installer spybot
- nettoyer apres avoir mis a jour Spybot
- dans le fichier .reg sauvé plus, enlever toute reference a WindowsAntivirus2006
- re-importer le .reg (double-click)
Cordialement
Frelou
frelou
 
Messages: 1
Inscription: 19 Oct 2006, 12:19

Messagede nickW » 19 Oct 2006, 16:49

Bonjour,

Qui est ce frelou qui conseille (avec 1 mois de retard) d'installer Spybot-S&D (nom officiel et déposé de cette application) alors que le log du 19/09/06 montre qu'il est déjà présent (cf la ligne O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\APPLIC~1\SPYBOT~1\SDHelper.dll)?

Mystère!

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 31 invités