Virus étrange

01/07-2005 à 16:16cette ligne à fixer
faire :
1) ctrl/alt/supp : clic arrêter (le programme peut apparaitre sous [Lw72RQc9W] ou shsfyuv.exe / agrandit la fenêtre du gestionnaire des tâches si tu ne le repères pas)
2) tu repasses sur le log hijack et tu fixes
O4 - HKCU\..\Run: [Lw72RQc9W] shsfyuv.exe

*ferme TOUS les programmes
*fixe les lignes vérolées dans l'hijack (coche chaque case & Fix Checked)
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et les fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

----------- ----------------- ---------------

tu n'aurais pas quelques doublons là? ton AV et ton Firewall c'est qui au juste?
ces programmes se retrouvent en 04 (activés au démarrage)
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Trend Micro\Internet Security\pccguide.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe

parceque ici tu as 2 Firewall actifs
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe

1 AV
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

2ème AV?
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe<-- ça c'est l'exe de l'AV de Trend ...

Mais sur quoi tu te basais pour vouloir supprimer les dll ?

01/07-2005 à 16:27

rien donné??

J'avais déjà ouï-dire (je parle beau hein [:D ] de ces fichier j'ai donc fait une nouvelle recherche (j'avais oublié d'afficher les fichier dont l'extension est connue je les ais bien tous, et merci pour les explications.

----------

01/07-2005 à 16:32 ok jeanmy, oui! si on affiche pas les dossiers cachés et protégés la recherche s'avère dure dure, vu le nombre de dll dans une machine

01/07-2005 à 16:37 [°)] arghh! raymond
il faut aussi fixer absolument cette ligne
c'est une variante d'Elite ToolBar.....

O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe

refait la manip de fix et ensuite - relance et repose un nouveau log hijack @+

04/07-2005 à 19:12je l'avais supprimé aussi, donc c ok, voici mon nouveau log, dis-moi quoi !

Logfile of HijackThis v1.99.1
Scan saved at 19:11:18, on 04/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2

(6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil

Software\Avast4\aswUpdSv.exe
C:\Program Files\Fichiers

communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil

Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall

4\kpf4ss.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall

4\kpf4gui.exe
C:\Program Files\Alwil

Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall

4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Alwil

Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet

Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page =

http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page_bak =

http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Barre d'outils MSN -

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -

C:\Program Files\MSN

Toolbar\01.01.1629.0\fr\msntb.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program

Files\Fichiers

communs\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [QuickTime Task]

"C:\Program Files\QuickTime\qttask.exe"

-atboottime
O4 - HKLM\..\Run: [DXM6Patch_981116]

C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVCOMS]

C:\WINDOWS\System32\LVCOMS.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033]

"C:\Program Files\D-Tools\daemon.exe"

-lang 1033
O4 - HKLM\..\Run: [avast!]

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk =

C:\Program Files\Microsoft

Office\Office\OSA9.EXE
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java

(Sun) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows

Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O16 - DPF:

{74D05D43-3236-11D4-BDCD-00C04F9A3B61}

(HouseCall Control) -

http://a840.g.akamai.net/7/840/537/20040610

01/housecall.trendmicro.com/housecall/xscan

53.cab
O16 - DPF:

{7B297BFD-85E4-4092-B2AF-16A91B2EA103}

(WScanCtl Class) -

http://www3.ca.com/securityadvisor/virusinf

o/webscan.cab
O16 - DPF:

{8E0D4DE5-3180-4024-A327-4DFAD1796A8D}

(MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary/Messen

gerStatsClient.cab31267.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{25D1B979

-4E01-4292-BD35-21E23D2ECE3A}: NameServer =

80.10.246.1 80.10.246.132
O23 - Service: avast! iAVS4 Control Service

(aswUpdSv) - Unknown owner - C:\Program

Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown

owner - C:\Program Files\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner -

Unknown owner - C:\Program Files\Alwil

Software\Avast4\ashMaiSv.exe" /service

(file missing)
O23 - Service: avast! Web Scanner - Unknown

owner - C:\Program Files\Alwil

Software\Avast4\ashWebSv.exe" /service

(file missing)
O23 - Service: Kerio Personal Firewall 4

(KPF4) - Kerio Technologies - C:\Program

Files\Kerio\Personal Firewall 4\kpf4ss.exe

05/07-2005 à 02:20Bsoir
Essaye de faire une analyse automatique sur le site HiJackthis.de

05/07-2005 à 12:14 le log est clean

Malgré ton grand coup de nettoyage sur tes doublons, tu as pas mal de programmes superflus dès le démarrage de ta machine (04)

démarrer>exécuter : tape : msconfig/valide ok >onglet : démarrage<- décoche les programmes ci-dessous :
O4 - HKLM\..\Run: [TkBellExe].. Real
O4 - HKLM\..\Run: [QuickTime Task]
O4 - HKLM\..\Run: [DXM6Patch_981116]
O4 - HKLM\..\Run: [LVCOMS]
O4 - HKLM\..\Run: [DAEMON Tools-1033]
O4 - HKCU\..\Run: [CTFMON.EXE]
O4 - Global Startup: Microsoft Office.lnk =.. OSA9.EXE

redémarre aussitôt pour appliquer/au reboot et au message de W. de "démarrage sélectif" coche "ne plus afficher ce message"

Au démarrage on ne laisse que quelques programmes Microsft. système, FAI, AV, Firewall, Antispys (s'il(s) comporte(nt) seulement une protection résidente, sinon non!)tout le reste est inutile et ralentit le bouzingue

télécharger Ad-aware.SE 1.06 (patch français/la même page)/ Spybot.s&d 1.4(les 2! gratuits les 2!/compatibles les 2!)
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html

Avec Spybot une fois le scan effectué, coche bien la case BHO (bloquer les pages nuisibles silencieusement) case qui prendra effet ici-->O2 - BHO: en protection résidente

* les tutos Ad-aware :
http://tutopat.hostonet.org/viewtopic.php?t=207
http://www.ordi-netfr.com/adawarese.html
* les tutos Spybot S&D :
http://tomcoyote.com/SPYBOT/indexfr.php
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

Puisque tu navigues avec IE, tu peux rajouter sans problème d'incompatibilité SpywareBlaster 3.4 (blocage des ActivX nuisibles)
http://www.ordi-netfr.com/spywareblaster.php

A l'occasion tester un navigateur comme Firefox, 1 navigateur c'est bien mais "2 vaut mieux tu l'auras" dit le dicton
http://www.geckozone.org/rubriques/6-firefox/

bon surf!

05/07-2005 à 16:53Salut, "2 vaut mieux tu l'auras"
je crois que c'est "1 vaut mieux que 2 tu auras"

----------