Soupçon de key logger (merci Angelique) [RESOLU]

[laulau68]

Bonjour a tous

J'ai un petit probleme et je me permet de vous ecrire afin d'avoir un peu d'aide. Je soupçonne la presence d'un key logger sur mon PC mais j'ai beau passer differents antivirus (karspersky, avast, viruskeeper), antispyware je ne detecte rien (je me suis fait hacke un compte de jeu sur le net)

Alors tout d'abord, je vous met en lien le rapport de hijack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:16:07, on 05/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Kerio\Personal Firewall\persfw.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\PROGRA~1\Wanadoo\CnxMon.exe
H:\PROGRA~1\MESSAG~1\StartMessager.exe
H:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
H:\PROGRA~1\Wanadoo\TaskbarIcon.exe
H:\Program Files\ATI Technologies\ATI.ACE\cli.exe
H:\Program Files\HP\HP Software Update\HPWuSchd.exe
H:\Program Files\HP\hpcoretech\hpcmpmgr.exe
H:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
H:\Program Files\Messenger\MSMSGS.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
H:\Program Files\Internet Explorer\iexplore.exe
C:\clubic\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Portail Orange
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - H:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] H:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] H:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "H:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] H:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] H:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ATICCC] "H:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [HP Software Update] "H:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "H:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ms] H:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\..\Run: [VirusKeeper] H:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RegFreeze.lnk = H:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = H:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = H:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - Portail Orange (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'h:\windows\system32\ou6viewer.dll' missing
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1135528182497
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargeme...b_uploader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/s...dSignerADP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F3E7703-8F82-4206-A628-16DCFB1D2DE2}: NameServer = 80.10.246.1 80.10.246.132
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - H:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - H:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - H:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - H:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - H:\WINDOWS\System32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - H:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - H:\WINDOWS\smss.exe (file missing)
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - H:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - H:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - H:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - H:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - H:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - H:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - H:\WINDOWS\System32\wbem\wmiapsrv.exe
--
End of file - 8898 bytes


J'ai aussi telecharge et executer vundofix: il n'a rien detecte d'anormal.

Est ce que je me fais des idées? Mais alors j'ai du mal a comprendrel le hack de mon compte (meme si c'est rien de bien grave hein)

Pour info, mon windows XP est a jour et mes antivirus aussi... J'utilise aussi un firewall Kerio.

D'avance merci pour votre aide.

Laurent

[angelique]

oui tu es infecté!!

réponse dans 20mn...........

[angelique]

1/Télécharger la version d'HijackThis http://www.merijn.org/files/hijackthis.zip

Créer un "nouveau dossier" dédié à hijackthis en c:\ nommé HJT, dezipper hijackthis.zip dans ce repertoire .Tu obtiens donc c:\HJT\Hijackthis.exe

2/- Télécharge LSPfix
http://www.cexx.org/LSPFix.exe
-- Lance LSPfix
-- Déconnecte-toi d'Internet et ferme toutes les fenêtres d'Internet Explorer.
-- Coche la case "I know what I'm doing"
-- Sélectionne toutes les instances des dll suivantes (s'il y en a, sinon ferme LSPfix) :

ou6viewer.dll

--> fais les glisser du panneau de gauche "keep" au panneau de droite "Remove".
Clique sur le bouton "Finish".
(Si elles sont déjà dans le panneau "Remove" alors clique directement sur le bouton "Finish".)

________________


- Télécharge clean.zip http://www.malekal.com/download/clean.zip , décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

-Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/R...ools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire automatiquement en c:\SDFix.

IL VA FALLOIR QUE TU DESACTIVES TEMPORAIREMENT REGFREEZE!!!!!(de memoire il bloque toute modifications! nan??)

3/lance HijackThis.exe " do a system scan only", coche uniquement et clic fixchecked les lignes ci dessous:

O4 - HKLM\..\Run: [ms] H:\Program Files\Microsoft\svhost32.exe





4/Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.

--supprime le fichier en gras:
H:\Program Files\Microsoft\svhost32.exe

supprime meme Microsoft si tu n'as pas d'autres fichiers que svhost32.exe dedans!


Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

Déroule la liste des instructions ci-dessous :

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

_______________________

-- Copie/Colle ici les rapports :
- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
- SDfix
- ainsi qu'un nouveau log HiJackThis

[laulau68]

Merci pour ton aide precieuse angelique !!!!
J'ai attentivement suivi tes conseils. Tout s'est deroule comme tu l'avais predit si ce n'est que lorsque mon pc a reboot, je n'ais pas eu de messages de fin d'execution du programme SDfix. Ci joint les differents rapports:

le rapport clean:

Script execute en mode sans echec
Rapport clean par Malekal_morte - Accueil malekal.com
Script execute en mode sans echec 05/05/2007 a 20:43:37,35
Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans H:

*** Suppression des fichiers dans H:\WINDOWS\

*** Suppression des fichiers dans H:\WINDOWS\system32
tentative de suppression de H:\WINDOWS\system32\1024\*.tmp

*** Suppression des fichiers dans H:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


le rapport SDFix


SDFix: Version 1.82
Run by Administrateur - 05/05/2007 - 20:47:24,81
Microsoft Windows XP [version 5.1.2600]
Running From: C:\sdfix\SDFix
Safe Mode:
Checking Services:
Name:
NETDown
ImagePath:
H:\WINDOWS\smss.exe
NETDown - Deleted

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service


et enfin le nouveau rapport HiJackThis

Logfile of HijackThis v1.99.1
Scan saved at 20:54:08, on 05/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
H:\Program Files\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Kerio\Personal Firewall\persfw.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\PROGRA~1\Wanadoo\CnxMon.exe
H:\PROGRA~1\MESSAG~1\StartMessager.exe
H:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
H:\PROGRA~1\Wanadoo\TaskbarIcon.exe
H:\Program Files\ATI Technologies\ATI.ACE\cli.exe
H:\Program Files\HP\HP Software Update\HPWuSchd.exe
H:\Program Files\HP\hpcoretech\hpcmpmgr.exe
H:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
H:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
H:\Program Files\Messenger\MSMSGS.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
H:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\NOTEPAD.EXE
H:\WINDOWS\system32\NOTEPAD.EXE
C:\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Portail Orange
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - H:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] H:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] H:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "H:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] H:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] H:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ATICCC] "H:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [HP Software Update] "H:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "H:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [VirusKeeper] H:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [avgnt] "H:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - Startup: RegFreeze.lnk = H:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = H:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = H:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - Portail Orange (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1135528182497
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargeme...b_uploader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/s...dSignerADP.cab
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - H:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: kavsvc - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - H:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\System32\HPZipm12.exe


J'espere que tout s'est bien deroule.... N'hesites pas a me tenir informer si des choses bizarres apparaisent. Dans tous les cas, un GIGANTESQUE MERCI pour ton aide !!!!!!!!!!!!

Au plaisir de te lire

Laurent

[angelique]

Ok! l'affaire se presente plutot bien, tu dois en ressentir les changements deja

1/supprime :

*c:\SDFix
*clean et son rapport

2/executer(touche windows+touche R)
%systemroot%\system32\drivers\etc

valide par "enter" la ligne ci dessus

-clic droit sur le fichier "hosts"/propriétés/coche lecture seule/appliquer

3/tu as 2 antivirus n'est ce pas? KAVPersonal50 et VirusKeeper 2007 Pro Evaluation

22:24::edit----> je reviens editer pour dire que y'a aussi antivir et avast, ça fait beaucoup trop ^^

desinstalles viruskeeper, c'est dangeureux d'avoir 2 AV en residents d'installé.
kaspersky étant un excellent AntiVirus

penser à désactiver Regfreeze pour réaliser les operations suivantes!!

4/lance HijackThis " do a system scan only", coche uniquement et clic fixchecked les lignes ci dessous:

O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

5/Télécharge et installe les logiciels suivants au préalable

- AVG anti spyware --> ewido - anti-spyware and anti-malware solutions
- Fais la mise à jour

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1
- Easycleaner --> EasyCleaner
- Jv16 Powertools --> JV16 PowerTools
- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

6/Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

***Nettoie ton système avec Jv16 powertools, Easycleaner et ATF-cleaner ainsi qu'un scan avg antispyware.
Au sujet d'avg antispyware, c'est un excellent antispyware, malheureusement shareware de 30j MAIS au bout de 30j tu ne perds que les mises à jours automatiques et son resident, CEPENDANT, tu conserves la possibilité de le maj manuellement et de réaliser des scans régulierement ^^.


Easycleaner

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons
-Supprime tout ce que te propose Easycleaner
-Vide la corbeille



Jv16 powertools

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php
-ne supprime que les onglets verts à la fin du scan,aide toi des onglets "trier par"/"selectionner"/selection spéciale" pour "supprimer" les entrées obsoletes.
-Si tu remarques une inactivité , un bloquage de jv16 lors du nettoyage, ferme le completement et renouvelle l'opération.




ATF Cleaner
si tu utilises ou a utilisé IE(internet explorer)ou que tu ne l'as pas utilisé^^
Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

Fais un scan avec avg:

AVG AS puis choisis l'onglet Analyse
IMPORTANT!!!!
Puis l'onglet Paramètres
Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine voir mieux delete/supprimer
Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

Si un fichier est infecté détécté en fin d'analyse
Clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous
Enregistre ce fichier texte sur ton bureau

6/reboot normal et poste moi un nouveau rapport HijackThis & le rapport avg anti spyware.

___________________________________________

tu peux pour une protection(pas en tant réel sauf le tea timer de spybot qui va fliquer les entrées sensibles)/scan régulier telecharger spybot et adaware.

Tutoriel Ad-aware En Français - PC Entraide
Tutoriel Spybot Search And Destroy, Utiliser - PC Entraide

_________________________________

edit!

tu vas me telecharger smitfraudfix et executer l'option 1

Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd
Dans le menu, sélectionne 1

Citation:

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Donc tu te deco du net/desactives kaspersky et execute l'option 1, rapport sera généré que tu me posteras avec les 2 autres au dessus(avg antispyware+rapport HJT)

[laulau68]

Merci, je vais effectuer les differentes operations et poster les resultats. Petite remarque: ce lien n'est plus valable: http://www.zebulon.fr/articles/base-de-registre-3.php

a tout a l'heure^^

laurent

[angelique]

effectivement, le lien du tuto de jv16 de zebulon est plus bon!!!merci de ta remarque ;o)

je vais en référer.

un équivalent ici:

jv16 pas à pas - Questions techniques diverses::Maintenance - 01net. Micro Hebdo : forum

j'ai réédité mon message precedent sur ta multitude d'AV ^^/antivir,avast....
pour antivir , en executant le setup, il te propose de le supprimer:
http://www.free-av.com/down/windows/...win7u_en_h.exe

pour avast, un tool est developpé pour le virer:
Utilitaire de désinstallation d'avast!

[laulau68]

Concernant le nombre d'antivirus et d'antispy present sur mon PC, cela s'explique par le fait que cherchant qqchose que Kaspersky n'aurait pas vu, j'ai essaye d'autres antivirus pour voir si eux detectaient qqchose. Mais sinon je n'ais que Kaspersky d'installer et d'actif.

J'ai effectue les différentes démarches que tu m'as demande de faire; voici les rapports:

rapport avg anti spyware:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 23:31:43 05/05/2007
+ Résultat de l'analyse:

H:\WINDOWS\system32\1024 -> Trojan.Small : Nettoyé.

Fin du rapport

Rapport de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 00:03:30, on 06/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
H:\Program Files\Kerio\Personal Firewall\persfw.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\SOUNDMAN.EXE
H:\PROGRA~1\Wanadoo\CnxMon.exe
H:\PROGRA~1\MESSAG~1\StartMessager.exe
H:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
H:\PROGRA~1\Wanadoo\TaskbarIcon.exe
H:\Program Files\ATI Technologies\ATI.ACE\cli.exe
H:\Program Files\HP\HP Software Update\HPWuSchd.exe
H:\Program Files\HP\hpcoretech\hpcmpmgr.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
H:\Program Files\Messenger\MSMSGS.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
H:\WINDOWS\System32\msiexec.exe
H:\WINDOWS\system32\wuauclt.exe
C:\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Portail Orange
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - H:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] H:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] H:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "H:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] H:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] H:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ATICCC] "H:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [HP Software Update] "H:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "H:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = H:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = H:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - Portail Orange (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1135528182497
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargeme...b_uploader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/s...dSignerADP.cab
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - H:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\System32\HPZipm12.exe

Rapport de smitfraudfix

SmitFraudFix v2.175
Rapport fait à 23:57:22,09, 05/05/2007
Executé à partir de H:\Documents and Settings\Laurent\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\SOUNDMAN.EXE
H:\PROGRA~1\Wanadoo\CnxMon.exe
H:\PROGRA~1\MESSAG~1\StartMessager.exe
H:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
H:\PROGRA~1\Wanadoo\TaskbarIcon.exe
H:\Program Files\ATI Technologies\ATI.ACE\cli.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\HP\HP Software Update\HPWuSchd.exe
H:\Program Files\HP\hpcoretech\hpcmpmgr.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
H:\Program Files\Messenger\MSMSGS.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
H:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
H:\Program Files\Kerio\Personal Firewall\persfw.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\WINDOWS\system32\cmd.exe
H:\WINDOWS\system32\wscntfy.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» H:\

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Laurent

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Laurent\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\Laurent\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="about:Home"
"SubscribedURL"="about:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="NVDESK32.DLL"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin


Voili voilou, je ne sais pas si le probleme est resolu mais disons que je reprends confiance en l'informatique ^^
Encore merci pour ton aide Angélique !!!!

Laurent

EDIT: Lorsque je redemarre mon PC, il apparaît des fenetres d'installation windows du style: "Please wait while windows configure Tryapp" et "Please wait while windows configure Fax" Il me demande ensuite d'inserer un cd (petu etre celui de windows). J'ai prefere annuler tout ca pour le moment et est alors apparu le message windows d'erreur avec pour titre "Fax" suivant: "Error 1706. No valid source could be found for product Fax: the windows installer cannot continue". POur info je n'ais pas de fax.

[angelique]

1/supprime smitfraudfix et son rapport
*supprime le dossier en gras:
C:\hjt\backup

2/ton rapport HJT me parrait propre

3/

Citation:

EDIT: Lorsque je redemarre mon PC, il apparaît des fenetres d'installation windows du style: "Please wait while windows configure Tryapp" et "Please wait while windows configure Fax" Il me demande ensuite d'inserer un cd (petu etre celui de windows). J'ai prefere annuler tout ca pour le moment et est alors apparu le message windows d'erreur avec pour titre "Fax" suivant: "Error 1706. No valid source could be found for product Fax: the windows installer cannot continue". POur info je n'ais pas de fax.

c'est pas grand chose^^:
insere ton cd d'installation de ton imprimante-scanner HP avant l'apparition des messages ou à l'apparition 'inserer le cd", ça resoudra le probleme!

4/as tu encore des soucis??
adaware et spybot ont ils été passé?as tu corrigé ce qu"ils ont trouvés et vidé leur quarantaine?

[laulau68]

Hello Angelique
Alors j'ai passe ad-aware et Spybot-Search and destroy en mode sans echec et en mode "normal" de windows. En mode sans echec, il ne constate rien du tout mais des que je lance internet et que je scan mon PC, Ad Aware trouve toujours quelque chose. Spybot search and destroy ne bronche pas. Voici ce que Ad Aware me trouve:
Ad-Aware SE Build 1.06r1
Logfile Created on:dimanche 6 mai 2007 17:14:58
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R168 30.04.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):1 total references
Tracking Cookie(TAC index:3):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file
Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

06-05-2007 17:14:58 - Scan started. (Full System Scan)
MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplicatio n
Description : most recent application to use microsoft directdraw

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 672
ThreadCreationTime : 06-05-2007 15:11:06
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\H:\WINDOWS\system32\
ProcessID : 740
ThreadCreationTime : 06-05-2007 15:11:14
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\H:\WINDOWS\system32\
ProcessID : 768
ThreadCreationTime : 06-05-2007 15:11:16
BasePriority : High

#:4 [services.exe]
FilePath : H:\WINDOWS\system32\
ProcessID : 812
ThreadCreationTime : 06-05-2007 15:11:16
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Applications Services et Contrôleur
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : services.exe
#:5 [lsass.exe]
FilePath : H:\WINDOWS\system32\
ProcessID : 824
ThreadCreationTime : 06-05-2007 15:11:16
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe
#:6 [ati2evxx.exe]
FilePath : H:\WINDOWS\System32\
ProcessID : 968
ThreadCreationTime : 06-05-2007 15:11:17
BasePriority : Normal
FileVersion : 6.14.10.4118
ProductVersion : 6.14.10.4118.02
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE
#:7 [svchost.exe]
FilePath : H:\WINDOWS\system32\
ProcessID : 980
ThreadCreationTime : 06-05-2007 15:11:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:8 [svchost.exe]
FilePath : H:\WINDOWS\system32\
ProcessID : 1052
ThreadCreationTime : 06-05-2007 15:11:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:9 [svchost.exe]
FilePath : H:\WINDOWS\System32\
ProcessID : 1088
ThreadCreationTime : 06-05-2007 15:11:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:10 [svchost.exe]
FilePath : H:\WINDOWS\System32\
ProcessID : 1148
ThreadCreationTime : 06-05-2007 15:11:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:11 [svchost.exe]
FilePath : H:\WINDOWS\System32\
ProcessID : 1200
ThreadCreationTime : 06-05-2007 15:11:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:12 [spoolsv.exe]
FilePath : H:\WINDOWS\system32\
ProcessID : 1496
ThreadCreationTime : 06-05-2007 15:11:18
BasePriority : Normal
FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
ProductVersion : 5.1.2600.2696
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe
#:13 [ati2evxx.exe]
FilePath : H:\WINDOWS\system32\
ProcessID : 1516
ThreadCreationTime : 06-05-2007 15:11:18
BasePriority : Normal
FileVersion : 6.14.10.4118
ProductVersion : 6.14.10.4118.02
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE
#:14 [explorer.exe]
FilePath : H:\WINDOWS\
ProcessID : 1620
ThreadCreationTime : 06-05-2007 15:11:18
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorateur Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : EXPLORER.EXE
#:15 [scardsvr.exe]
FilePath : H:\WINDOWS\System32\
ProcessID : 1692
ThreadCreationTime : 06-05-2007 15:11:19
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Serveur de gestion de ressources des cartes à puce
InternalName : SCardSvr.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : SCardSvr.exe
#:16 [guard.exe]
FilePath : H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\
ProcessID : 1776
ThreadCreationTime : 06-05-2007 15:11:19
BasePriority : Normal
FileVersion : 7, 5, 0, 47
ProductVersion : 7, 5, 0, 47
ProductName : AVG Anti-Spyware
CompanyName : Anti-Malware Development a.s.
FileDescription : AVG Anti-Spyware guard
InternalName : AVG Anti-Spyware guard
LegalCopyright : Copyright © 2006 Anti-Malware Development a.s.
OriginalFilename : guard.exe
#:17 [persfw.exe]
FilePath : H:\Program Files\Kerio\Personal Firewall\
ProcessID : 1928
ThreadCreationTime