virus...or not virus???

[celio]

Depuis trois jour j'ai un ralentissement enorme de mon pc.
Pas seulement des pages internet, mais toutes les applications mettent du temps a s'ouvrir et parfois plantent.
J'ai donc tout scanné avec avast, pest patrol, ad-aware et spybot (on n'est jamais trop prudent!) mais rien. J'ai cherché d'eventuelles erreurs avec tune-up...mais rien d'anormal non plus.
Mon disque dur a pres de 50% d'espace libre.
J'ai fait un scan avec hijack this mais pour moi...c'est pas tres clair donc si quelqu'un pouvait y jeter un oeil et me dire si il y a quelque chose d'anormal et si c'est pas le cas j'avoue que je sais plus trop ou chercher le probleme!

[angelique]

Citation:

J'ai fait un scan avec hijack this mais pour moi...c'est pas tres clair donc si quelqu'un pouvait y jeter un oeil et me dire si il y a quelque chose d'anormal et si c'est pas le cas j'avoue que je sais plus trop ou chercher le probleme!

Tu peux poster ton rapport stp!!

[celio]

Et voila...



Logfile of HijackThis v1.99.1
Scan saved at 10:22:35, on 24/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\pest patrol\Nouveau dossier (2)\PPActiveDetection.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Hijack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bienvenue sur Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Neuf Cegetel - neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Yahoo! Search - Moteur de recherche de sites Web, images, vidéos, shopping et actualités
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Bienvenue sur Yahoo! France
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\flashget\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\flashget\getflash.dll
O3 - Toolbar: FlashGet - {e0e899ab-f487-11d5-8d29-0050ba6940e3} - C:\Program Files\flashget\fgiebar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\pest patrol\Nouveau dossier (2)\PPActiveDetection.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\flashget\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\flashget\jc_link.htm
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Micro Application Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\flashget\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\flashget\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winmxw32 - winmxw32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

[angelique]

1/Télécharge F-Secure Blacklight :

https://europe.f-secure.com/exclude/blacklight/fsbl.exe


Lance-le en double-cliquant sur le fichier fsbl.exe
Accepte la licence, et clique enfin sur "Scan"
- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.
-n'utilises pas la fonction rename car certains fichiers sont legitimes

2/telecharge vundofix

http://www.atribune.org/ccount/click.php?id=4

Double-clique VundoFix.exe afin de le lancer.


Clique sur le bouton Scan for Vundo.

Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Redémarre le pc et Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

[celio]

ok je fais ça de suite!
Merci

[angelique]

desinstalle flashget par la meme occasion via ajout supp de programmes et poste un nouveau rapport HijackThis avec le rapport vundofix et blacklight

[celio]

Vundo et blacklight n'ont rien trouvé.
Bizarrement, j'arrive pas a desinstaller Flashget, j'ai pourtant essayer via ajout/suppr. de programmes, avec crap cleaner et avec tune up, mais rien n'y fait, il reste la.
Le rapport hijack this est identique au 1er.
On est 3 a utilisé le meme pc (et les 2 autres n'y connaissent que dalle!!) et je viens de me rendre compte qu'une des sessions rame 3 fois plus que la mienne! Le probleme viendrait-il de la?

[angelique]

Mouai!


1/Télécharge et installe les logiciels suivants au préalable

- avg antispyware --> ewido - anti-spyware and anti-malware solutions
- Fais la mise à jour

- AtfCleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe
- Easycleaner --> EasyCleaner
- Jv16 Powertools --> JV16 PowerTools
- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> jv16 pas à pas - Questions techniques diverses::Maintenance - 01net. Micro Hebdo : forum

*ferme ton navigateur

2/relance Hijackthis " do a system scan only" coche et clic fixchecked les lignes ci dessous uniquement:

O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\flashget\jccatch.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\flashget\getflash.dll
O3 - Toolbar: FlashGet - {e0e899ab-f487-11d5-8d29-0050ba6940e3} - C:\Program Files\flashget\fgiebar.dll
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\flashget\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\flashget\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\flashget\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\flashget\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: winmxw32 - winmxw32.dll (file missing)

3/Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

*supprime le dossier en gras:
C:\Program Files\flashget

Nettoie ton système avec Jv16 powertools, Easycleaner et ATF-cleaner, et avg antispyware


Easycleaner

-met le à jour-->onglet mise à jour/verifier/liste noire
-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons
-Supprime tout ce que te propose Easycleaner
-Vide la corbeille



Jv16 powertools

-Nettoie ton registre selon le tuto
-aide toi des onglets trier par/selectionner---selection speciale pour "supprimer" UNIQUEMENT les ronds verts
-si tu remarques une inactivité de jv16 lors du nettoyage, ferme le entierement et renouvelle l'operation




ATF Cleaner
Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

Fais un scan avec avg anti spyware:

-choisis delete/effacer/appliquer toutes les actions à la fin du scan ou avant dans les settings pour que les infections trouvées soient effacées
- A la fin du scan, sauve le rapport
- Vide la quarantaine

**postes ton rapport avg antispyware et un nouveau rapport Hijackthis au reboot

Faudra voire pour les autres sessions en me donnant un rapport Hijackthis de ces sessions.

[celio]

Bon ben apres mettre battue, j'ai trouvé le probleme!!
Je sais pas lequel des deux (mais si je le trouve ça va etre sa fete!) a farfouiller dans des endroits ou il fallait pas et des dossiers systems et autres etaient a la corbeille! J'ai donc fait une restauration et tout refonctionne normalement....
desolée du derangement...mais c'est vrai que je fais jamais de restauration et j'y avait pas pensé!!!

[angelique]

ok!!

j'espere que tu n'as pas restauré celle là avec
O20 - Winlogon Notify: winmxw32 - winmxw32.dll


----------------------------