edlm2.exe ..... ?????

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

edlm2.exe ..... ?????

Messagede oswald28 » 10 Mai 2006, 14:45

bonjour tout le monde


voila, je suis un peu perdu; mon anti virus n'arrete pas d'afficher une fenetre avec edlm2.exe*
depuis mon ordinateur rame vachement .

j'ai lu dans un forum qu'il fallait faire un scan avec hijackthis...

ce qui en sort reste du charabiat pour moi!!!

ya til une ame charitable qui pourrait m'aider a comprendre ce log:


Logfile of HijackThis v1.99.1
Scan saved at 15:29:52, on 10/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\HJT\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ML1HelperStartUp] C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\etb\pokapoka79.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ERS.exe" /scan
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - http://akamai.downloadv3.com/binaries/P ... _FR_XP.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/Sy ... comInt.cab
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O20 - Winlogon Notify: sloader64 - C:\WINDOWS\SYSTEM32\sloader64.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



merci d'avance ..

a bientot oswald.
oswald28
 
Messages: 2
Inscription: 10 Mai 2006, 14:37

Messagede nickW » 10 Mai 2006, 23:11

Bonsoir,

Elite Toolbar, Mitglieder.HT = deux trojans!
Spyware Cleaner = faux utilitaire de sécurité, que l'on retrouve sur la liste des logiciels scélérats/suspects.
Error Safe = guère mieux


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 9).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php
McAfee: http://assiste.com.free.fr/p/internet_u ... usscan.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp
Note: Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
*- Dans l'onglet Nettoyeur-Applications, cocher:
Internet: Sun Java

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido anti-malware
Télécharger la version d'essai de ewido anti-malware depuis http://www.ewido.net/en/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire), puis sur Démarrer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: EliteToolbar Remover de SimplyTech
Télécharger ETRemover_V212.zip et le placer sur le bureau.
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\Program Files\ETR).
Lancer EliteToolbar Remover par un double clic sur ETRemover_V212.exe
Cliquer sur Check for updates... (recherche de mise à jour).
S'il y a une mise à jour, l'installer.
Fermer EliteToolbar Remover.


Étape 6: Killbox par Option^Explicit
Télécharger Killbox depuis http://www.killbox.net/downloads/KillBox.exe
Enregistrer ce programme dans un dossier spécifique, par exemple C:\Program Files\killbox


Étape 7: Bloc-notes
Ouvrir le Bloc-notes (alias Notepad).
Démarrer---->Exécuter---->Taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone "Code" ci-dessous, puis faire un clic droit et choisir "Copier".
Aller dans la fenêtre ouverte du Bloc-notes, faire un clic droit dans la zone blanche et choisir "Coller".
Toujours dans le Bloc-notes, dans le menu Fichier, choisir Enregistrer sous...
Choisir un nom (par exemple liste1.txt) et enregistrer le fichier sur le Bureau.
Code: Tout sélectionner
C:\WINDOWS\SYSTEM32\mloader32.dll
C:\WINDOWS\SYSTEM32\ldr64.dll
C:\WINDOWS\SYSTEM32\sloader64.dll
C:\WINDOWS\SYSTEM32\edlm2.exe
C:\WINDOWS\SYSTEM32\edlm.exe



Étape 8: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 9: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 10: Désinstallation
Démarrer-->Paramètres-->Panneau de Configuration-->Ajout/Suppression de programmes
Rechercher et désinstaller (si trouvé) Spyware Cleaner
Rechercher et désinstaller (si trouvé) Error Safe


Étape 11: Services
Arrêter un service:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à France Telecom Routing Table Service
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\System32\FTRTSVC.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK


Étape 12: EliteToolbar Remover
Faire un double clic sur ETRemover_V212.exe
Puis cliquer sur le bouton "Kill Elite Toolbar" et attendre.
Parfois, une boîte de dialogue DOS peut apparaître, vous demandant la permission de supprimer certains fichiers dans les dossiers temporaires de Windows. Il faut accepter ces suppressions.
En fin d'exécution du programme, cliquer sur le bouton "Save Log" et enregistrer le fichier.


Étape 13: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\etb\pokapoka79.exe--->Ajouté par Trojan.Elitebar
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ERS.exe" /scan
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - http://akamai.downloadv3.com/binaries/P ... _FR_XP.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/Sy ... comInt.cab
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O20 - Winlogon Notify: sloader64 - C:\WINDOWS\SYSTEM32\sloader64.dll


Étape 14: ewido anti-malware
Lancer ewido anti-malware et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). Cocher aussi la case située devant "Effectuer cette action avec toutes les infections".
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 15: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Renommer (clic droit sur le nom du dossier) les dossiers ci-dessous en ajoutant .non derrière leur nom:

C:\WINDOWS\etb (à renommer en etb.non)
C:\Program Files\Spyware Cleaner (à renommer en Spyware.non)
C:\Program Files\Error Safe Free (à renommer en Error.non)


Étape 16: Nettoyage
Exécuter l'antivirus, réglé au maximum (si l'antivirus ne démarre pas en mode sans échec, le signaler en réponse, après la fin de l'ensemble des étapes).
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 17: Killbox
Faire un double clic sur le fichier liste1.txt enregistré précédemment sur le Bureau afin de l'ouvrir dans le Bloc-notes.
En sélectionner toutes les lignes, faire un clic droit dessus et choisir "Copier".
Lancer Killbox d'un double clic sur Killbox.exe
Ne toucher à aucun bouton.
Cocher "Delete on Reboot".
Dans le menu File choisir "Paste from Clipboard".
Les boutons "Single File" et "All Files" sont alors activés, mais "Single File" est sélectionné par défaut (le bouton est vert).
Il faut impérativement cliquer sur "All Files" (c'est ce bouton qui deviendra vert - sinon seul le premier de la liste sera supprimé).
Vérifier que tous les fichiers ont été copiés en dépliant la liste déroulante "Full Path of File to Delete".

Cocher la case située devant "Unregister .dll Before Deleting".
Cliquer sur le bouton rouge avec croix blanche ("Delete file").
Cliquer sur "Oui"/"Yes" sur l'invite "File will be Removed on Reboot, Do you want to reboot now?".

Si KillBox ne fait pas redémarrer le PC, le faire redémarrer en mode normal.


Étape 18: Redémarrage
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido
*- le résultat de Killbox (contenu du fichier C:\!KillBox\Logs\kb.log)
*- le résuktat de EliteToolbar Remover (fichier Log enregistré précédemment)

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede oswald28 » 11 Mai 2006, 21:17

salut!

merci pour ton aide, pour le moment j'ai eu de pb!

cependant a l'etape 15, je n'ai trouvé aucun des dossiers
et a l'etape 17je n'ai pas pu cocher la case "unregister.dll before deleting"

voila le log que j'ai depuis :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Program Files\Wanadoo\taskbaricon.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\BitComet\BitComet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HIJACKTHIS VF\hijackthis vf.exe
C:\WINDOWS\system32\wuauclt.exe

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ML1HelperStartUp] C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

le rapport d'ewido:


+ Créé le: 04:01:48, 11/05/2006
+ Somme de contrôle: 3A7A58D7

+ Résultats du scan:

[240] C:\WINDOWS\system32\sloader64.dll -> Downloader.Bagle.aq : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll -> Adware.Minibug : Nettoyer et sauvegarder
C:\WINDOWS\NDNuninstall6_98.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\WINDOWS\system32\ldr64.dll -> Downloader.Bagle.ak : Nettoyer et sauvegarder
C:\WINDOWS\system32\sloader64.dll -> Downloader.Bagle.aq : Nettoyer et sauvegarder


::Fin du rapport

le resultat de killbox :

Pocket Killbox version 2.0.0.648
Running on Windows XP as tykinou(Administrator)
was started @ jeudi, mai 11, 2006, 2:34 AM

Killbox Closed(Exit) @ 2:34:06 AM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as tykinou(Administrator)
was started @ jeudi, mai 11, 2006, 8:22 PM

Killbox Closed(Exit) @ 8:24:40 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as tykinou(Administrator)
was started @ jeudi, mai 11, 2006, 8:24 PM

Killbox Closed(Exit) @ 8:27:48 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as tykinou(Administrator)
was started @ jeudi, mai 11, 2006, 8:28 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\SYSTEM32\edlm2.exe


# 2 [Delete on Reboot]
Path = C:\WINDOWS\SYSTEM32\edlm.exe


I Rebooted @ 8:29:10 PM
Killbox Closed(Exit) @ 8:29:13 PM
__________________________________________________


et pour elite toolbar remover :

Registry Log file generated by *** ETRemover - V.2.1.2 ***
11/05/2006 - 02:58:14

System info:

System running in: Safe Mode
OS Platform: Microsoft Windows 2000
OS Version: 5.01.2600
OS Update: Service Pack 2
CPU Maker: AuthenticAMD
CPU Model: x86 Family 6 Model 8 Stepping 1
CPU Speed: 1666 MHz


Running processes:

[system process] [SYSTEM]
system [SYSTEM]
smss.exe [\SystemRoot\System32\smss.exe]
csrss.exe [SYSTEM]
winlogon.exe [\??\C:\WINDOWS\system32\winlogon.exe]
services.exe [C:\WINDOWS\system32\services.exe]
lsass.exe [C:\WINDOWS\system32\lsass.exe]
svchost.exe [C:\WINDOWS\system32\svchost.exe]
svchost.exe [SYSTEM]
svchost.exe [C:\WINDOWS\system32\svchost.exe]
explorer.exe [C:\WINDOWS\Explorer.EXE]
etremover_v212.exe [C:\Program Files\ETR\ETRemover_v212.exe]


------------------------------------------
HKLM -> UserInit in NT:


DWORD: AutoRestartShell = 1

DefaultDomainName = MICKAEL

DefaultUserName = tykinou

LegalNoticeCaption =

LegalNoticeText =

PowerdownAfterShutdown = 0

ReportBootOk = 1

Shell = Explorer.exe

ShutdownWithoutLogon = 0

System =

Userinit = C:\WINDOWS\system32\userinit.exe,

VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"

DWORD: SfcQuota = -1

allocatecdroms = 0

allocatedasd = 0

allocatefloppies = 0

cachedlogonscount = 10

DWORD: forceunlocklogon = 0

DWORD: passwordexpirywarning = 14

scremoveoption = 0

DWORD: AllowMultipleTSSessions = 1

DWORD: LogonType = 1

Background = 0 0 0

DebugServerCommand = no

DWORD: SFCDisable = 0

WinStationsDisabled = 0

DWORD: HibernationPreviouslyEnabled = 1

DWORD: ShowLogonOptions = 0

AltDefaultUserName = tykinou

AltDefaultDomainName = MICKAEL

KeepRasConnections = 1



------------------------------------------
HKCU -> UserInit in NT:


ParseAutoexec = 1

ExcludeProfileDirs = Local Settings;Temporary Internet Files;Historique;Temp

DWORD: BuildNumber = 2600



------------------------------------------
HKLM -> UserInit:

* Registry key not found *

------------------------------------------
HKCU -> UserInit in NT:

* Registry key not found *

------------------------------------------
Running processes in NT / HKLM -> RUN (Autorun entries from Registry):

* Registry key not found *

------------------------------------------
Running processes in HKLM -> RUN (Autorun entries from Registry):


ATIPTA = C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

ShStatEXE = "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

McAfeeUpdaterUI = "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime

NeroCheck = C:\WINDOWS\system32\NeroCheck.exe

LVCOMSX = C:\WINDOWS\system32\LVCOMSX.EXE

LogitechVideoRepair = C:\Program Files\Logitech\Video\ISStart.exe

LogitechVideoTray = C:\Program Files\Logitech\Video\LogiTray.exe

Zone Labs Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

ML1HelperStartUp = C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1

SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033

EPSON Stylus D88 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"

WOOTASKBARICON = C:\Program Files\Wanadoo\taskbaricon.exe



------------------------------------------
Running processes in HKLM -> RUNONCE (Autorun entries from Registry):

* No values found *

------------------------------------------
Running processes in HKLM -> RUNONCEEX (Autorun entries from Registry):

* No values found *

------------------------------------------
Running processes in HKLM -> RUNSERVICES (Autorun entries from Registry):

* Registry key not found *

------------------------------------------
Running processes in HKLM -> RUNSERVICESONCE (Autorun entries from Registry):

* Registry key not found *

------------------------------------------
Running processes in NT / HKCU -> RUN (Autorun entries from Registry):

* Registry key not found *

------------------------------------------
Running processes in HKCU -> RUN (Autorun entries from Registry):


WebCamRT.exe =

LogitechSoftwareUpdate = "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

eMuleAutoStart = C:\Program Files\eMule\emule.exe -AutoStart



------------------------------------------
Running processes in HKCU -> RUNONCE (Autorun entries from Registry):

* No values found *

------------------------------------------
Running processes in HKCU -> RUNONCEEX (Autorun entries from Registry):

* Registry key not found *

------------------------------------------
Running processes in HKCU -> RUNSERVICES (Autorun entries from Registry):

* Registry key not found *

------------------------------------------
Running processes in HKCU -> RUNSERVICESONCE (Autorun entries from Registry):

* Registry key not found *

------------------------------------------
Running processes in HKLM -> Browser Helper Objects:

------------------------------------------
Programs in HKLM -> Common Startup:

Microsoft Office.lnk

------------------------------------------


voila je pense que c'est tout!

merci beaucoup c'est vraiment sympa de ta part

en esperant qu'il nyai pas d'autres pbs ....


bye a+
oswald28
 
Messages: 2
Inscription: 10 Mai 2006, 14:37

Messagede nickW » 13 Mai 2006, 11:40

Bonjour,

Ton log me semble "propre".

Voici quelques conseils supplémentaires:

Un conseil important:
Il faut créer un nouveau point de restauration système.
Réactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Un conseil:
Utiliser Ccleaner régulièrement.
Par exemple, prendre l'habitude de le lancer systématiquement avant d'éteindre le PC, ou une fois par jour.


Un conseil:
Abandonner Internet Explorer + Outlook Express au profit de Firefox + Thunderbird


Un conseil:
Supprimer la connexion Internet créée avec le kit Wanadoo, et la recréer manuellement.
En effet, les kits d'installation fournis par les FAIs installent des tas de "bidules" aux fonctions assez floues, et qui sont parfois considérés comme des "espions".
Une page d'explications:
http://www.faqoe.com/index.php?bas=/connexionmanel.htm
(Il faut avoir sous les yeux la lettre envoyée par le FAI contenant les codes d'accès)


Un conseil:
La version d'essai d'ewido anti-malware reste utilisable sans limitation de durée, mais avec deux restrictions:
*- pas de surveillance en temps réel,
*- pas de mise à jour automatique en ligne.
Tu peux donc choisir de le laisser installé, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant d'exécuter le balayage.


Un conseil:
Télécharger, installer et mettre à jour Spybot-S&D.
Voir ICI
On peut supprimer tout ce qu'il indique en rouge.


Un conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Note:
En ce moment, seule la version téléchargeable est à jour.
Clic droit sur le lien: http://assiste.files.free.fr/h/Startups-vf.chm
Enregistrer le fichier, puis double clic dessus pour l'ouvrir.

Sont dans ce cas:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k--->lire attentivement la liste de Pacman
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u--->lire attentivement la liste de Pacman
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot--->mise à jour automatique: mieux vaut la faire soi-même
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE--->un véritable dévoreur de ressources, inutile

Note importante sur la mise en œuvre de cette correction ("Fix") des "inutiles au démarrage" via HijackThis (cocher la case devant l'élément puis cliquer sur Fix Checked):
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer) ou tout autre programme de contrôle d'intégrité,
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer), supprimé les fichiers temporaires et vidé la corbeille à l'aide de Ccleaner,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- Ici doit se placer l'utilisation de HijackThis
-**- après exécution de HijackThis, vider la corbeille, le cache d'IE et les fichiers temporaires grâce à Ccleaner.

Puis redémarrer l'ordinateur en mode normal.


Penser à retirer l'affichage des fichiers et dossiers cachés si tu n'en as pas besoin.
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

Voilì, voilò, voilà.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités