Un virus ou spyware hpoevm07 - s o s

08/02 à 15:11Bonjour,

Je viens de réinstaller mon ordi. Hier je réinstalle mon imprimante HP. En même temps s'installe un dossier Readiris que j'ai pensé venir de l'imprimante, mais non. Depuis que j'ai installé readiris tout est bloqué je ferme avec le gestionnaire des taches. Tout peut s'ouvrir mais aucun onglet ne répond comme dans Propriétés de l'affichage ou la télé. j'ai des images dans "bureau" que je n'ai jamais vues ou venant de mon dossier images sans permission

Dans msconfig yavait tout coché alors que j'avais décoché. ayant Redécoché à nouveau, les "spywares" n'y apparaissent plus. je men souviens d'un que j'ai recherché sur le net, mais à part des rapport Hijack rien de nouveau. c'est hpoevm07

Pouvez vous me rappeler comme utiliser hyjackthis svp

heu secuser en ligne vient de trouver TROJ Generic, non cleanable dans C:\hp\binFondleWindows.exe. Avez vous ce dossier ? bon je vais regarder (mais le scan secuser n'est pas terminé).

merci de votre aide.

08/02 à 15:18Bonjour,

aussi dans les processus du gestionnaire j'ai stoppé un truc qui s'appelait server ou serveur et mon image de bureau revenait mais pas moyen de fermer.

Et pour couronner le tout, l'ordi vient de s'éteindre avant la fin du scan GRRRRRRRRRRRR

08/02 à 20:24Bonjour,
je ne sais pas d'où vient ce fichier scan : secuser avast ou trend surtout qu'il ne se passait rien chez trend alors chui partie chez secuser qui n'a jamais terminé. un petit aperçu avec toutes les lignes polluées jusqu'au bout du fichier.

un fichier texte de 23Mo

je copie colle pas tout il y en aurait pour des heures et ça bogue

-------------------------------------------------


2008/02/08 14:43:58:546 HTML parameter

ScanAllDrives = 0
Cleanable = 1
AutoClean = 0
ZipClean = 1
SpecialTSC = 0
EnableTSC = 1
AdUrl =
VirusAction = 0
ScanFileExtensOnly =
RenameToFileExtens = .VIR
MoveToPath = C:\HouseCallQuarantine
ShowErrorInAction = 0
TrendUserId =
TrendScanCompletedURL =
ScanReportUrl = http://wtc.trendmicro.com/HcBin/HcAddLog.exe
ScanMemoryVirus = 1
ScanBootVirus = 1
ActiveUpdateUrl = http://housecall-p.activeupdate.trendmicro.com/activeupdate/
HouseCallBaseUrl = http://wtc.trendmicro.com:8000/hcms/

2008/02/08 14:43:58:546 200A398::OnCreate()
2008/02/08 14:43:58:546 200A398::COleControl::OnCreate() Pass!
2008/02/08 14:43:58:546 200A398::XP platform.
2008/02/08 14:43:58:546 200A398::Mutex = 898
2008/02/08 14:43:58:546 200A398::OnCreate() Web server List checking ...
2008/02/08 14:43:58:546 200A398::OnCreate() Get AddressBarText => 'http://www.secuser.com'
2008/02/08 14:43:58:546 200A398::OnCreate() Parsing hostname form AddressBarText => 'http://www.secuser.com'
2008/02/08 14:43:58:562 200A398::OnCreate() Found 'www.secuser.com' in server list
2008/02/08 14:43:58:562 m_strClientIP=192.168.1.11

2008/02/08 14:44:00:390 200A398::OnCreate() Pass!
2008/02/08 14:44:00:390 200A398::ActveUpdateGetNewestPatternEngine() begin
2008/02/08 14:44:00:531 (Xscan):nCurPatVer=0

2008/02/08 14:44:00:531 (Xscan):HouseCallWorkDir = C:\WINDOWS
2008/02/08 14:44:00:531 (Xscan):szDll = C:\WINDOWS\TmUpdate.dll
2008/02/08 14:44:00:625 (Xscan):vscinfo.vi_Version=
2008/02/08 14:44:00:625 (Xscan):version.build=0
2008/02/08 14:44:00:625 server.ini path = C:\WINDOWS\AU_Temp\server.ini
2008/02/08 14:44:00:625 HC client's product version 0 in uint32_t is 0x0, Build no is 0
2008/02/08 14:44:00:625 (Xscan):nNewPatVer=0

2008/02/08 14:44:00:625 (Xscan):HouseCallWorkDir=C:\WINDOWS

2008/02/08 14:45:15:359 (Xscan):MoveFile(C:\WINDOWS\LPT$VPN.987,C:\WINDOWS\VPTNFILE.987)

2008/02/08 14:45:15:375 200A398::ActveUpdateGetNewestPatternEngine() end
2008/02/08 14:45:15:718 200A398::OnSafeStateToFireEvent()
2008/02/08 14:46:59:890 (Xscan) : DuplicatePatternForTSC() :copy from C:\WINDOWS\VPTNFILE.987 to C:\WINDOWS\LPT$VPN.987

2008/02/08 14:46:59:890 (Xscan):AddTail path(A:\)
2008/02/08 14:46:59:921 (Xscan):AddTail path(C:\)
2008/02/08 14:46:59:921 (Xscan):AddTail path(D:\)
2008/02/08 14:46:59:921 (Xscan):AddTail path(E:\)
2008/02/08 14:46:59:921 (Xscan):AddTail path(F:\)
2008/02/08 14:46:59:937 200A398::VScanDlg.Create(619C8CA0)
2008/02/08 14:47:00:062 try to FormatSysInfoString()....

2008/02/08 14:47:00:062 FormatSysInfoString : 5:1:2600:VER_PLATFORM_WIN32_NT:Service Pack 2

2008/02/08 14:47:02:781 Internal Pattern Version = 4.987.00

2008/02/08 14:47:04:578 Start Scanning ************************
2008/02/08 14:47:04:593 (Xscan) : TSCKL.ini path=C:\WINDOWS\TSC.INI

2008/02/08 14:47:04:593 (Xscan) : TSCKL.ini : write

2008/02/08 14:47:04:593 (Xscan) : TSCKL.ini : write HouseCall has found and cleaned a malware.

2008/02/08 14:47:04:593 (Xscan) : TSCKL.ini : write HouseCall did not find any Trojans. Press the OK button to scan for other types of malware.

2008/02/08 14:47:04:593 (Xscan) : TSCKL.ini : write Please reboot your computer to completely clean the Trojan.

2008/02/08 14:47:04:593 (Xscan) : TSCKL.ini : write Please reboot your computer and run HouseCall Control again.

2008/02/08 14:47:04:593 (Xscan) : TSCKL.ini : write Allocate memory error

2008/02/08 14:47:04:593 (Xscan): CallTSCToScanVirus

2008/02/08 14:47:04:734 CXscanCtrl::CallTSCToScanVirus() : TSC pattern number = 934
2008/02/08 14:47:04:734 (Xscan): CreateProcess(CmdLine=C:\WINDOWS\TSC.EXE /mv,szHouseCallWorkDir=C:\WINDOWS)

2008/02/08 14:47:19:984 (Xscan) : MsgWaitForMultipleObjects return 0,GetLastError()=0

2008/02/08 14:47:19:984 (Xscan) : CallTSCToScanVirus() : TSC exit(0)
2008/02/08 14:47:19:984 (Xscan) : DealWithTSCExitCode(0)

2008/02/08 14:47:19:984 (Xscan) : TSCKL.EXE returned successfully

2008/02/08 14:47:19:984 CTSCProgress::GetNoInfectFromIni(int& nNoInfect )
2008/02/08 14:47:27:375 ScanFile C:\\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Sonic MyDVD - Capturez des données vidéos et audio - Créez des titres DVD et CD interactifs.lnk
2008/02/08 14:47:27:421 Dump_Virus:pfcb->pfcb_status=0

2008/02/08 14:47:27:421 ScanFile C:\\Documents and Settings\Administrator\NTUSER.DAT
2008/02/08 14:47:27:453 Dump_Virus:pfcb->pfcb_status=0

2008/02/08 14:47:27:453 ScanFile C:\\Documents and Settings\Administrator\NTUSER.DAT.LOG
2008/02/08 14:47:27:468 Dump_Virus:pfcb->pfcb_status=0

2008/02/08 14:47:27:515 ScanFile C:\\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\S-1-5-18\d42cc0c3858a58db2db37658219e6400_249534ee-c729-4d2e-b4fb-88f0ffc663f9
2008/02/08 14:47:27:515 Dump_Virus:pfcb->pfcb_status=0

2008/02/08 14:47:27:515 ScanFile C:\\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\S-1-5-18\d42cc0c3858a58db2db37658219e6400_b80c190c-aa07-42d5-b67a-91b56049ece4
2008/02/08 14:47:27:546 Dump_Virus:pfcb->pfcb_status=0

Modifie par CathieC le 24/02/2008 à 21:37:

08/02 à 20:43Bonjour,
tu utilises ce site pour l'évaluation:
http://www.hijackthis.de/fr
ça dégrossi mais c'est pas l'idéale
non désolé j'ai répondu trop vite

Modifie par patkab le 08/02/2008 à 20:52:3

----------
je préfère les chats aux chiens, il n'y a pas de chats policiers!

08/02 à 21:01Bonjour,

merci patkab
voici un rapport bien court je trouve


Logfile of HijackThis v1.99.1
Scan saved at 20:57:20, on 08/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\1logiciels\@avast\aswUpdSv.exe
C:\Program Files\1logiciels\@avast\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\1logiciels\@avast\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Hijackthis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://netcourrier.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr6.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr6.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://netcourrier.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202133027488
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\1logiciels\@avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\1logiciels\@avast\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\1logiciels\@avast\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

08/02 à 21:06Bonjour,

mais non c'est moi qui flippe
parce que j'ai déjà réinstallé plein de trucs dans l'ordi qui ne sont pas sauvegardés et que j'ai plus sur le dd externe. pas eu le temps.

RAS sur le site d'analyse.

çà m'a surtout signalé que je n'avais pas de parefeu. J'ai vérifié c'est tout bon. Mais j'ai vu que yavait une CONNEXION ENTRANTE; y compris dans les Connexions/panno de config. Et des programmes inconnus. pff je vais encore y passer la nuit avant de comprendre. J'ai du faire rentrer un truc pas sain pendant que je chargeais sur winupdate.

Modifie par CathieC le 08/02/2008 à 21:27:

08/02 à 21:36Bonjour CathieC.
non, nous allons pas y passer toute la nuit.
ce qui veut dire que tu as le temps.
Recommence la reinstall et en premier, liaison Internet.
Ensuite ...on voit

----------
Parti de rien, j'en suis toujours que là, mais j'avance...Mais, avec le progrès, je vérifie toujours si je ne recule pas...

08/02 à 21:43Bonjour,

nan je réinstalle pas. sinon je perds trop de trucs. que j'avais d'ailleurs l'intention de sauvegarder à nouveau. dans un autre ordre. même pas le temps !

on vient de me conseiller d'effacer tous les .ink et les restau

08/02 à 22:10ok ..le probleme vient de l'install au moment de l'imprimante.
désinstall l'imprimante.
redemarre.
si toujours probleme.
hijackthis
http://www.hijackthis.de/fr

telecharger et install, executer.
pas fermer , copier le tout et coller.
analyser.
tout le rouge et orange, bien relevé le numero et la ligne
cocher exactement les meme dans la liste.
et fix.

Après, on voit.
Je suis là encore un bout de temps

Modifie par Isatis le 08/02/2008 à 22:39:2

----------
Parti de rien, j'en suis toujours que là, mais j'avance...Mais, avec le progrès, je vérifie toujours si je ne recule pas...

08/02 à 23:48Bonjour,

En attendant...
fume une clope
http://www.memoclic.com/forum/96344-tabac-and-co/page-1#body889919

et regarde la télé.
http://www.memoclic.com/forum/94113-capturer-une-video-sur-france2fr-c-est-possible/page-0#body889927

apparament ta machine va bien.

moi je vais me coucher [°)]

Modifie par Isatis le 09/02/2008 à 00:09:3

----------
Parti de rien, j'en suis toujours que là, mais j'avance...Mais, avec le progrès, je vérifie toujours si je ne recule pas...

09/02 à 11:03Bonjour,

Si ça c'est réparable sans séquelles...je me fais moine! Le mieux serait de faire les sauvegardes des fichiers sans démarrer Windows, avec un Windows Live ou un Linux, par exemple (puisqu'il y a des trucs à télécharger) et réinstaller.

Surtout ne pas tenter de récupérer la configuration, risque de contamination.

09/02 à 12:09Bonjour,

je progresse - j'ai récupéré les boutons de la télé, les fenêtres se referment normalement - mais tant que je n'aurais pas trouvé la bête qui paralyse Propriétés de l'affichage/bureau, je sais que ça finira par une réinstallation système.

C'est quoi/comment windows live pour récup de mes fichiers ?


Isatis ! il ne te vient pas à l'idée que je suis sur deux ordi en même temps !


bon je continue avec google aussi.

09/02 à 12:58Bonjour,
Oui, bien sur, la fatigue sans doute, excuse moi

----------
Parti de rien, j'en suis toujours que là, mais j'avance...Mais, avec le progrès, je vérifie toujours si je ne recule pas...

24/02 à 22:24Bonjour,

J'ai commencé par raccourcir le message du 08/02 à 20:24 pour plus de clarté (pour moi)

secuser en ligne vient de trouver TROJ Generic, non cleanable dans C:\hp\binFondleWindows.exe : les propriétés du fichier disant qu'il était récent, j'ai vite fait un calcul et j'ai supprimé sans problème apparent encore aujourd'hui.

j'ai utilisé
http://www.secuser.com/antivirus/ pas mal, toujours pareil
http://housecall.trendmicro.com/fr/ il ne se passait rien...
http://webscanner.kaspersky.fr/ super scan

C'est Housecall qui est l'auteur du long fichier texte trrrrrès lourd. Ce texte n'avait rien avoir avec mon ordi, c'était simplement le fichier que charge cet antivirus pour faire son controle Et quand on lit 2008/02/08 14:47:27:453 Dump_Virus:pfcb->pfcb_status=0 ça veut bien dire zéro virus. (curt )

j'ai bien tout vérifié dans mon ordi, puis re scan avec secuser et plus rien de louche sauf l'affichage impossible à ouvrir. entre temps j'ai ouvert une boite hotmail à 5Go comme conseillé plus haut. Soit depuis Orange soit Hotmail, on ne peut télécharger qu'un fichier à la fois donc solution abondonnée très vite.

Problème de l'affichage et onglet Bureau coincé : j'avais copié des images (de mon jardin ) dans le dossier wallpaper dans Windows. Trop lourdes, j'ai réduit et l'affichage allait mieux mais encore trop long. J'ai carrément supprimé toutes ces photos et tout est redevenu normal instantanément. Le problème est que le logiciel Affichage chargeait tout mon dossier documents/mes images qui défilait dans l'onglet bureau/arrières-plans à cause des quelques tofs que j'avais copiées dedans certainement....
Le trojan trouvé par Sécuser c'est le hasard (mais tant mieux), mon problème venait d'ailleurs. et pas non plus de l'imprimante. Tout était ralenti à cause de ces photos... problème réglè.

Modifie par CathieC le 24/02/2008 à 22:32: