Besoin d'aide pour nettoyage virus

Le
litdwarf
Bonjour,

J'ai un poste infacté (Norton Corporate trouve tout les jours au
démarrage un 20aine de fichiers infectés avec différents virus). Ca
fait maintenant plusieurs jours que j'essaye de le nettoyer en
vain
J'ai fais des analyses norton, bitdefender, j'ai passer vundofix
(comme vu sur un forum) et d'autre encore mais je ne m'en sort pas.
J'en fait donc appel à votre aide pour m'indiquer la voie à prendre.

Ci-dessous mon rapport HiJackThis pour le cas où. Merci d'avance de
votre aide.

C:Program FilesFichiers communsxrtxdlo_service.exe
C:Program FilesXrtBCPXCMonitor.exe
C:Program FilesFichiers communsXRTEBXLADServer.exe
C:WINDOWSExplorer.EXE
C:Program FilesAnalog DevicesCoresmax4pnp.exe
C:Program FilesCyberLinkPowerDVDDVDLauncher.exe
C:Program FilesNavNTvptray.exe
C:WINDOWSsystem32NILaunch.exe
C:Documents and SettingsAll UsersApplication Databwtwhehq.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32?ssemblyw?nlogon.exe
C:WINDOWSsystem32DOBE~1slookup.exe
C:Program Files3MPSNLitePsnLite.exe
C:PROGRA~13MPSNLitePSNGive.exe
C:Program FilesXrtBCPBcpcomm.exe
C:Documents and SettingsSOUDAYMABureauHiJackThis_v2.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.inapa.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer =
ftp=217.19.195.242:8082;http=217.19.195.242:80;https=217.19.195.242:8=
081
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 192.168.*;62.*;127.*;10.*;195.*;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-
B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveX
AcroIEHelper.dll
O2 - BHO: (no name) - {1FE9B120-6CF8-50A1-5C9B-04BE9C43B0A0} - C:
WINDOWSsystem32hdxxsfc.dll
O2 - BHO: (no name) - {26FC342B-4826-42E6-B211-9142D682E3A2} - C:
WINDOWSsystem32bllylyv.dll (file missing)
O2 - BHO: (no name) - {34E71F1E-0CE2-0E7E-0FD6-0A73C53B5407} - C:
WINDOWSsystem32gwlgtyb.dll (file missing)
O2 - BHO: (no name) - {4F116E78-E4AA-4593-91EC-875C0CFBA484} - C:
WINDOWSsystem32pmnnm.dll (file missing)
O2 - BHO: (no name) - {6095E398-41FF-211D-8919-052292CF54A2} - C:
WINDOWSsystem32hopowkl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:
Program FilesJavajre1.5.0_10binssv.dll
O2 - BHO: (no name) - {937D1E4B-80A9-D57D-DB7C-8DADD3BA729F} - C:
WINDOWSsystem32hszxdexh.dll
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:
WINDOWSsystem32amxxhvwo.dll
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesCore
smax4pnp.exe
O4 - HKLM..Run: [DVDLauncher] "C:Program FilesCyberLinkPowerDVD
DVDLauncher.exe"
O4 - HKLM..Run: [Client Access Service] "C:Program FilesIBMClient
Accesscwbsvstr.exe"
O4 - HKLM..Run: [Client Access Help Update] "C:Program FilesIBM
Client Accesscwbinhlp.exe"
O4 - HKLM..Run: [Client Access Check Version] "C:Program FilesIBM
Client Accesscwbckver.exe" LOGIN
O4 - HKLM..Run: [Client Access Express Welcome] "C:Program FilesIBM
Client Accesscwbwlwiz.exe"
O4 - HKLM..Run: [Client Access PC5250 Sound] "C:Program FilesIBM
Client AccessEmulatorpcssnd.exe"
O4 - HKLM..Run: [vptray] C:Program FilesNavNTvptray.exe
O4 - HKLM..Run: [Net-It Launcher] C:WINDOWSsystem32NILaunch.exe
O4 - HKLM..Run: [bwtwhehq.exe] C:Documents and SettingsAll Users
Application Databwtwhehq.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Igjno] C:WINDOWSsystem32?ssemblyw?nlogon.exe
O4 - HKCU..Run: [Toae] "C:WINDOWSsystem32DOBE~1slookup.exe" -vt
yazb
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'Default user')
O4 - Startup: Lotus QuickStart.lnk = C:lotuswordproltsstart.exe
O4 - Global Startup: Bginfo.lnk = C:Program FilesBginfoBginfo.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:Program
Files3MPSNLitePsnLite.exe
O4 - Global Startup: XRTBcpcomm.lnk = C:Program FilesXrtBCP
Bcpcomm.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
- C:Program FilesJavajre1.5.0_10binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-
AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263}
- C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer
Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O17 - HKLMSystemCCSServicesTcpipParameters: Domain =
groupeinapafr.inapa.dom
O17 - HKLMSoftware..Telephony: DomainName =
groupeinapafr.inapa.dom
O17 - HKLMSystemCS1ServicesTcpipParameters: Domain =
groupeinapafr.inapa.dom
O20 - Winlogon Notify: winolo32 - C:WINDOWSSYSTEM32winolo32.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-
B96B-00A0C90312E1} - C:WINDOWSsystem32browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant
- {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:WINDOWS
system32browseui.dll
O23 - Service: Fonction Commande à distance d'iSeries Access for
Windows (Cwbrxd) - IBM Corporation - C:WINDOWSCWBRXD.EXE
O23 - Service: DefWatch - Symantec Corporation - C:Program FilesNavNT
defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque
logique (dmadmin) - Unknown owner - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:
WINDOWSsystem32services.exe
O23 - Service: Fax - Unknown owner - C:WINDOWSsystem32fxssvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers communsInstallShieldDriver
11Intel 32IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) -
Unknown owner - C:WINDOWSsystem32imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) -
Unknown owner - C:WINDOWSsystem32mnmsrvc.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) -
Symantec Corporation - C:Program FilesNavNTtvscan.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:WINDOWS
system32services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance
(RDSessMgr) - Unknown owner - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:WINDOWS
System32SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) -
Unknown owner - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:
WINDOWSSystem32vssvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:
Program FilesRealVNCVNC4WinVNC4.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:
WINDOWSsystem32wbemwmiapsrv.exe
O23 - Service: XCS Service (xcssvc) - XRT - C:Program FilesFichiers
communsxrtxcssvc.exe
O23 - Service: XDLO.Service - XRT - C:Program FilesFichiers communs
xrtxdlo_service.exe
O23 - Service: XRT Communication Monitor - Unknown owner - C:Program
FilesXrtBCPXCMonitor.exe
O23 - Service: XRT LAD Server - Unknown owner - C:Program Files
Fichiers communsXRTEBXLADServer.exe
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
litdwarf
Le #1651990
Je vien de faire un scan online avec bitdefender et voici le rapport :

BitDefender Online Scanner - Rapport virus en temps réel



Généré à: Mon, Jun 04, 2007 - 10:44:47
--------------------------------------------
Info d'analyse

Fichiers scannés 120840

Infectés Fichiers 27

Virus Détectés

Trojan.Downloader.Agent.BRF 2

Trojan.Agent.QT 1

Trojan.Downloader.Agent.AQG 14

Trojan.Downloader.Winfixer.O 1

Trojan.Dialer.SK 1

Trojan.Obfus.Gen 2

MemScan:Trojan.Vundo.DLQ 1

MemScan:Trojan.Vundo.DLR 1

Trojan.Multidropper.H 2

MemScan:Trojan.Downloader.JIOX 1

Trojan.Agent.AOR 1
NM
Le #1651989
hello you wrote

Je vien de faire un scan online avec bitdefender et voici le rapport :

BitDefender Online Scanner - Rapport virus en temps réel




As tu supprimé ces virus ?

...

Hé bein on voyais qu'il y avait du monde sur ton premier log HJT

Pourrais tu refaire un HiJackThis stp ?

A+
--
bob

Return adress valid

litdwarf
Le #1651988
On 4 juin, 12:11, "NM"
hello you wrote

Je vien de faire un scan online avec bitdefender et voici le rapport :

BitDefender Online Scanner - Rapport virus en temps réel


As tu supprimé ces virus ?

...

Hé bein on voyais qu'il y avait du monde sur ton premier log HJT

Pourrais tu refaire un HiJackThis stp ?

A+
--
bob

Return adress valid


Merci de ton intervention !

Donc après plusieurs autres analyse et nettoyage voici un nouveau
rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:31:07, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode with network support

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Kasperskykavupd.exe
C:Documents and SettingsADMINMAFIBureauHiJackThis_v2.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://195.79.61.89/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer =
ftp!7.19.195.242:8082;http!7.19.195.242:80;https!7.19.195.242:8 081
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 10.*;195.*;62.*;129.*;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-
B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveX
AcroIEHelper.dll
O2 - BHO: (no name) - {1FE9B120-6CF8-50A1-5C9B-04BE9C43B0A0} - C:
WINDOWSsystem32hdxxsfc.dll (file missing)
O2 - BHO: (no name) - {26FC342B-4826-42E6-B211-9142D682E3A2} - C:
WINDOWSsystem32nbllylyv.dll (file missing)
O2 - BHO: (no name) - {34E71F1E-0CE2-0E7E-0FD6-0A73C53B5407} - C:
WINDOWSsystem32gwlgtyb.dll (file missing)
O2 - BHO: (no name) - {4F116E78-E4AA-4593-91EC-875C0CFBA484} - C:
WINDOWSsystem32pmnnm.dll (file missing)
O2 - BHO: (no name) - {6095E398-41FF-211D-8919-052292CF54A2} - C:
WINDOWSsystem32hopowkl.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:
Program FilesJavajre1.5.0_10binssv.dll
O2 - BHO: (no name) - {937D1E4B-80A9-D57D-DB7C-8DADD3BA729F} - C:
WINDOWSsystem32hszxdexh.dll
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:
WINDOWSsystem32amxxhvwo.dll
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesCore
smax4pnp.exe
O4 - HKLM..Run: [DVDLauncher] "C:Program FilesCyberLinkPowerDVD
DVDLauncher.exe"
O4 - HKLM..Run: [Client Access Service] "C:Program FilesIBMClient
Accesscwbsvstr.exe"
O4 - HKLM..Run: [Client Access Help Update] "C:Program FilesIBM
Client Accesscwbinhlp.exe"
O4 - HKLM..Run: [Client Access Check Version] "C:Program FilesIBM
Client Accesscwbckver.exe" LOGIN
O4 - HKLM..Run: [Client Access Express Welcome] "C:Program FilesIBM
Client Accesscwbwlwiz.exe"
O4 - HKLM..Run: [Client Access PC5250 Sound] "C:Program FilesIBM
Client AccessEmulatorpcssnd.exe"
O4 - HKLM..Run: [vptray] C:Program FilesNavNTvptray.exe
O4 - HKLM..Run: [Net-It Launcher] C:WINDOWSsystem32NILaunch.exe
O4 - HKLM..Run: [bwtwhehq.exe] C:Documents and SettingsAll Users
Application Databwtwhehq.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'Default user')
O4 - Global Startup: Bginfo.lnk = C:Program FilesBginfoBginfo.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:Program
Files3MPSNLitePsnLite.exe
O4 - Global Startup: XRTBcpcomm.lnk = C:Program FilesXrtBCP
Bcpcomm.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
- C:Program FilesJavajre1.5.0_10binnpjpi150_10.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-
AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10bin
npjpi150_10.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66}
- %windir%bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%bdoscandel.exe (file
missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263}
- C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE
Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLMSystemCCSServicesTcpipParameters: Domain =
groupeinapafr.inapa.dom
O17 - HKLMSoftware..Telephony: DomainName = groupeinapafr.inapa.dom
O17 - HKLMSystemCS1ServicesTcpipParameters: Domain =
groupeinapafr.inapa.dom
O20 - Winlogon Notify: winolo32 - C:WINDOWSSYSTEM32winolo32.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-
B96B-00A0C90312E1} - C:WINDOWSsystem32browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant
- {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:WINDOWS
system32browseui.dll
O23 - Service: Fonction Commande à distance d'iSeries Access for
Windows (Cwbrxd) - IBM Corporation - C:WINDOWSCWBRXD.EXE
O23 - Service: DefWatch - Symantec Corporation - C:Program FilesNavNT
defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque
logique (dmadmin) - Unknown owner - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:
WINDOWSsystem32services.exe
O23 - Service: Fax - Unknown owner - C:WINDOWSsystem32fxssvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers communsInstallShieldDriver
11Intel 32IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) -
Unknown owner - C:WINDOWSsystem32imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) -
Unknown owner - C:WINDOWSsystem32mnmsrvc.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) -
Symantec Corporation - C:Program FilesNavNTrtvscan.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:WINDOWS
system32services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance
(RDSessMgr) - Unknown owner - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:WINDOWS
System32SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) -
Unknown owner - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:
WINDOWSSystem32vssvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:
Program FilesRealVNCVNC4WinVNC4.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:
WINDOWSsystem32wbemwmiapsrv.exe
O23 - Service: XCS Service (xcssvc) - XRT - C:Program FilesFichiers
communsxrtxcssvc.exe
O23 - Service: XDLO.Service - XRT - C:Program FilesFichiers communs
xrtxdlo_service.exe
O23 - Service: XRT Communication Monitor - Unknown owner - C:Program
FilesXrtBCPXCMonitor.exe
O23 - Service: XRT LAD Server - Unknown owner - C:Program Files
Fichiers communsXRTEBXLADServer.exe

--
End of file - 7714 bytes


litdwarf
Le #1651987
On 4 juin, 12:33, wrote:
On 4 juin, 12:11, "NM"




hello you wrote

Je vien de faire un scan online avec bitdefender et voici le rapport :

BitDefender Online Scanner - Rapport virus en temps réel


As tu supprimé ces virus ?

...

Hé bein on voyais qu'il y avait du monde sur ton premier log HJT

Pourrais tu refaire un HiJackThis stp ?

A+
--
bob

Return adress valid


Merci de ton intervention !

Donc après plusieurs autres analyse et nettoyage voici un nouveau
rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:31:07, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode with network support

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Kasperskykavupd.exe
C:Documents and SettingsADMINMAFIBureauHiJackThis_v2.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =http:// 195.79.61.89/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =h ttp://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =http:// www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer =
ftp!7.19.195.242:8082;http!7.19.195.242:80;https!7.19.195.242 :8081
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 10.*;195.*;62.*;129.*;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-
B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveX
AcroIEHelper.dll
O2 - BHO: (no name) - {1FE9B120-6CF8-50A1-5C9B-04BE9C43B0A0} - C:
WINDOWSsystem32hdxxsfc.dll (file missing)
O2 - BHO: (no name) - {26FC342B-4826-42E6-B211-9142D682E3A2} - C:
WINDOWSsystem32nbllylyv.dll (file missing)
O2 - BHO: (no name) - {34E71F1E-0CE2-0E7E-0FD6-0A73C53B5407} - C:
WINDOWSsystem32gwlgtyb.dll (file missing)
O2 - BHO: (no name) - {4F116E78-E4AA-4593-91EC-875C0CFBA484} - C:
WINDOWSsystem32pmnnm.dll (file missing)
O2 - BHO: (no name) - {6095E398-41FF-211D-8919-052292CF54A2} - C:
WINDOWSsystem32hopowkl.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:
Program FilesJavajre1.5.0_10binssv.dll
O2 - BHO: (no name) - {937D1E4B-80A9-D57D-DB7C-8DADD3BA729F} - C:
WINDOWSsystem32hszxdexh.dll
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:
WINDOWSsystem32amxxhvwo.dll
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesCore
smax4pnp.exe
O4 - HKLM..Run: [DVDLauncher] "C:Program FilesCyberLinkPowerDVD
DVDLauncher.exe"
O4 - HKLM..Run: [Client Access Service] "C:Program FilesIBMClient
Accesscwbsvstr.exe"
O4 - HKLM..Run: [Client Access Help Update] "C:Program FilesIBM
Client Accesscwbinhlp.exe"
O4 - HKLM..Run: [Client Access Check Version] "C:Program FilesIBM
Client Accesscwbckver.exe" LOGIN
O4 - HKLM..Run: [Client Access Express Welcome] "C:Program FilesIBM
Client Accesscwbwlwiz.exe"
O4 - HKLM..Run: [Client Access PC5250 Sound] "C:Program FilesIBM
Client AccessEmulatorpcssnd.exe"
O4 - HKLM..Run: [vptray] C:Program FilesNavNTvptray.exe
O4 - HKLM..Run: [Net-It Launcher] C:WINDOWSsystem32NILaunch.exe
O4 - HKLM..Run: [bwtwhehq.exe] C:Documents and SettingsAll Users
Application Databwtwhehq.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'Default user')
O4 - Global Startup: Bginfo.lnk = C:Program FilesBginfoBginfo.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:Program
Files3MPSNLitePsnLite.exe
O4 - Global Startup: XRTBcpcomm.lnk = C:Program FilesXrtBCP
Bcpcomm.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
- C:Program FilesJavajre1.5.0_10binnpjpi150_10.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-
AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10bin
npjpi150_10.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66}
- %windir%bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%bdoscandel.exe (file
missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263}
- C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE
Control) -http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLMSystemCCSServicesTcpipParameters: Domain =
groupeinapafr.inapa.dom
O17 - HKLMSoftware..Telephony: DomainName = groupeinapafr.inapa.dom
O17 - HKLMSystemCS1ServicesTcpipParameters: Domain =
groupeinapafr.inapa.dom
O20 - Winlogon Notify: winolo32 - C:WINDOWSSYSTEM32winolo32.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-
B96B-00A0C90312E1} - C:WINDOWSsystem32browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant
- {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:WINDOWS
system32browseui.dll
O23 - Service: Fonction Commande à distance d'iSeries Access for
Windows (Cwbrxd) - IBM Corporation - C:WINDOWSCWBRXD.EXE
O23 - Service: DefWatch - Symantec Corporation - C:Program FilesNavNT
defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque
logique (dmadmin) - Unknown owner - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:
WINDOWSsystem32services.exe
O23 - Service: Fax - Unknown owner - C:WINDOWSsystem32fxssvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers communsInstallShieldDriver
11Intel 32IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) -
Unknown owner - C:WINDOWSsystem32imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) -
Unknown owner - C:WINDOWSsystem32mnmsrvc.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) -
Symantec Corporation - C:Program FilesNavNTrtvscan.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:WINDOWS
system32services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance
(RDSessMgr) - Unknown owner - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:WINDOWS
System32SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) -
Unknown owner - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:
WINDOWSSystem32vssvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:
Program FilesRealVNCVNC4WinVNC4.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:
WINDOWSsystem32wbemwmiapsrv.exe
O23 - Service: XCS Service (xcssvc) - XRT - C:Program FilesFichiers
communsxrtxcssvc.exe
O23 - Service: XDLO.Service - XRT - C:Program FilesFichiers communs
xrtxdlo_service.exe
O23 - Service: XRT Communication Monitor - Unknown owner - C:Program
FilesXrtBCPXCMonitor.exe
O23 - Service: XRT LAD Server - Unknown owner - C:Program Files
Fichiers communsXRTEBXLADServer.exe

--
End of file - 7714 bytes- Masquer le texte des messages précédents -

- Afficher le texte des messages précédents -


J'ai un eScan de kaspersky en cours :)



NewsListener
Le #1651986
wrote:
On 4 juin, 12:33, wrote:
On 4 juin, 12:11, "NM"




hello you wrote
Je vien de faire un scan online avec bitdefender et voici le rapport :
BitDefender Online Scanner - Rapport virus en temps réel
As tu supprimé ces virus ?

...
Hé bein on voyais qu'il y avait du monde sur ton premier log HJT
Pourrais tu refaire un HiJackThis stp ?
A+
--
bob
Return adress valid
Merci de ton intervention !


Donc après plusieurs autres analyse et nettoyage voici un nouveau
rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:31:07, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode with network support




----SNIP



--
End of file - 7714 bytes- Masquer le texte des messages précédents -

- Afficher le texte des messages précédents -


J'ai un eScan de kaspersky en cours :)

Si tu ne l'a pas déjà fait, je te suggère un scan avec ad-aware suivi de


SpyBot.




litdwarf
Le #1651985
On 4 juin, 13:47, NewsListener
wrote:
On 4 juin, 12:33, wrote:
On 4 juin, 12:11, "NM"
hello you wrote
Je vien de faire un scan online avec bitdefender et voici le rapport :
BitDefender Online Scanner - Rapport virus en temps réel
As tu supprimé ces virus ?

...
Hé bein on voyais qu'il y avait du monde sur ton premier log HJT
Pourrais tu refaire un HiJackThis stp ?
A+
--
bob
Return adress valid
Merci de ton intervention !


Donc après plusieurs autres analyse et nettoyage voici un nouveau
rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:31:07, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode with network support
----SNIP

--
End of file - 7714 bytes- Masquer le texte des messages précédents -

- Afficher le texte des messages précédents -


J'ai un eScan de kaspersky en cours :)


Si tu ne l'a pas déjà fait, je te suggère un scan avec ad-aware sui vi de

SpyBot.- Masquer le texte des messages précédents -

- Afficher le texte des messages précédents -


Merci.

mais déja fait... et AVG anti-spy aussi.





teo.dore
Le #1651696
Bonsoir,
Je te conseil de faire une analyse de ton log à cet adresse.
http://www.hijackthis.de/fr
Y a du boult. A+ TeO
b-ber
Le #1657426
46644ce3$0$25955$
Bonsoir,
Je te conseil de faire une analyse de ton log à cet adresse.


Et avant, de pcréer un point de sauvegarde
CAR HJT intervient dans la base de registre

http://www.hijackthis.de/fr
Y a du boult. A+ TeO


Publicité
Poster une réponse
Anonyme