Reprise du message précédent :
ne supprime que cette clé "NCLABYDLL", rien d'autre.
Même chose pour C:\FOUND.000\FILE0003.CHK -> uniquement FILE0003.CHK

tu entend par clé le dossier dans le volet de gauche? (je n'ai pas de "" )

oui, ça ressemble à un dossier jaune (en fait ça s'appele une clé, dans le registre), c'est bien dans le panneau de gauche et ça s'appelle NCLABYDLL, et il n'y a pas de ""
 
c'est donc ce dossier jaune que tu dois supprimer
 
je crois que là tu ne peux pas te tromper

en effet... désolé, je prend toujours bcp de precautions avec la base (surtout kan c pas la mienne)... je continu la procédure...

1>ligne de comande OK
 
2>clé de registre K
 
3>
C:\FOUND.000\FILE0003.CHK  SUPP OK?C:\WINDOWS\mdrive\drsmartload195a.exe SUPP OK ?C:\WINDOWS\newname.dat ABS.?C:\WINDOWS\gimmysmileys.exe  SUPP OK                                                                                                                                                                                                                                     ?C:\WINDOWS\uninstall_nmon.vbs ABS.?C:\Documents and Settings\LocalService\Bureau\freeprodtb.exe ABS.?C:\Program Files\ltmoh\mohapi.exe SUPP OK?C:\Program Files\Windows\WinUpdate.exe[?™«]   SUPP OK                                                                                                                                                                                                                    ?C:\WHCC2.exe ABS.?C:\WINDOWS\SYSTEM32\nclabydll.dll <- ACCES REFUSE (je peux le renommer, mais pas le déplacé ni en quarantaine ni ailleurs). en essayant de le couper/coller sur le bureau, il m a créer un fichier "Bribe documents wordpad attribut -s -r -h..."
 
4> CCleaner : OK
 
5> BFU : OK / FixSmitFraud : OK
 
6> NAV déinstallé / ZA suite 5 installé (mais pas encore à jours)
 
7> c parti pour the avenger...
 
Logfile of HijackThis v1.99.1
Scan saved at 16:40:00, on 12/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\SYMNET~1\SNDMon.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Documents and Settings\PropriÈtaire\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: nclabydll - nclabydll.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

visiblement le malware n'a pas apprécié, regarde la ligne O20 : nclabydll.dll (file missing)
file missing -> fichier manquant. Attention, pour info, cette mention n'est pas forcément valide pour certaines lignes d'un rapport HJT (O9, O10, O23, O18, en réalité, le fichier existe bien, c'est un bug si l'on peut dire ainsi)
 
je pense qu'on peut procéder juste comme cela, sans passer par Avenger :
 
Tu relances HJT, et fixes cette ligne (outs programmes fermés)
 
O20 - Winlogon Notify: nclabydll - nclabydll.dll (file missing)  
 
relance à nouveau HJT
"open the misc tool section"
"delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\SYSTEM32\nclabydll.dll (attention, si le fichier a été renommé adapte-le, le tout c'est que cette dll soit effacée lors du prochain reboot)
puis clique sur "ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)
 
lorsque tu as redémarré, vérifie juste que tu n'as plus cette ligne O20 dans ton log. Si tu veux fais un dernier scan en ligne pour ultime vérif. Je pense que nous avons terminé. Je te dirais d'ailleurs tout ce qu'il faut supprimer

ca redemarre... j ai egalement un fichier nclaby.sys dans sys32...je le tèje aussi?

c bon pour nclaby.dll.off ... il n est plus présent... que fais je de nclaby.sys?

oui, vire-le. Sa présence peut expliquer la persistance de la dll correspondante et de la clé.
Haxdoor/Goldun fonctionne comme cela (dll+driver). Mais le fix (haxfix) n'a rien détecté de tout ça.
 
Toujours vérifier que les fichiers ne réapparaissent pas après un redémarrage.

par contre, a tout hasard, je passe actuellement le scan av. de ZA...et il trouve des virus dans restore (comme tout à l heure dans le log)...ca veux dire koi? (il n as pas fini le scan, donc je ne peu pas etre plus precis sur les virus et leur emplacement)

c'est ta restauration système, qui enregistre toute ta configuration, qu'il y ait des malwares ou pas (voilà un de ses points faibles d'ailleurs). Tant que tu ne l'utilises pas, les fichiers ne peuvent en sortir.
 
Mais on la désactivera à la fin pour que tu puisses repartir sur de bonnes bases.

bon bah ecoutes... ZA à reussi à en traité 5 sur 17... il en reste donc 12 (Win32.SillyDI.ANG / Win32.SillyDI.AKF)...mais tous dans volume restore.
 
on nettoie tout ce qu on a utilisé maintenant? (ou bien je fais les MAJ XP d'abord?)
(au fait, le log HJT est propre, plus de 020...tu veux le revoir quand meme?)

- je te fais confiance pour la O20, c'est la seule chose qui restait depuis plusieurs fois.
 
- A supprimer : SmitfraudFix, list.bat, bfu.zip, C:\BFU, delcmdservice.zip, delcmdservice, Look2Me-Destroyer.exe, haxfix.exe, c:\haxfix.txt
Ajout/supp de programmes -> désinstalle haxfix
 
- je ne sais pas si tu utilises encore des produits symantec mais il reste des traces  
 
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer  
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe <- ça c'est un service, donc si tu veux le virer, il faut l'arreter et le désactiver, son nom est "Symantec Network Drivers Service"
 
Deux liens pour virer Norton, au passage
 
http://service1.symantec.com/SUPPO [...] =&osv_lvl=
http://speedweb1.free.fr/frames2.php?page=divers3
 
- Mets aussi à jour Java, c'est important http://www.java.com/fr/download/windows_xpi.jsp
et tu choisis "Windows (Installation hors ligne) (taille du fichier: 16.00 MB))" et tu l'installes
 
- désactive ta restauration système :
http://service1.symantec.com/SUPPO [...] 0101856924
Redémarre
- Créer un point de restauration système
http://www.vulgarisation-informati [...] ration.php
 
#############################
 
- Tu devrais ensuite pouvoir faire tes màj http://windowsupdate.microsoft.com/
 
- Qques conseils de base pour la sécurité de ton pc http://forum.pcastuces.com/sujet.a [...] =5#1554292

bon bin la grande classe eZula... tout a rouler comme...heu...bin comme sur des roulettes.
je v deconnecter pour me mettre sur crosoftUpdate... (et il risque d'y en avoir pour longtemps...)
si je te revois pas sous peu, je te salue et te remercie infiniement pour tout ce que tu m'as appris (et pour le dépannage de la bécane bien sur).
que Mr Torval te bénisses...
a+
(et merci pour le lien sécu, ca vas m'etre utile je pense...)

a ++  

Pour info, l'option "Désinfecter Winlogon" de Testor, téléchargeable ici : http://www.lutile.be/testor.zip aurait fait sauter cette fameuse -020- du premier coup !      
 
Attention, ne pas utiliser cette option si une inscription VALIDE se trouve dans le Winlogon\Notify !!!

salut wawaseb,
 
tu nous fais une démo http://forum.hardware.fr/hardwaref [...] m#t2409392 ?

En ce qui concerne la démo, c'est posté...
 
Bon dimanche à TOUS !

re eZula, je reviens à la charge, et tu m'en vois navré...je suis toujours infecté...voici le rapport BD fais hier apres l install de tt les MAJ XP:
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U9HL8GPX\lewl[1].exe=>(NSIS o)=>lzma_nsis0001
 Infecté par: Trojan.Downloader.Small.CZF
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U9HL8GPX\lewl[1].exe=>(NSIS o)=>lzma_nsis0001
 Echec de la désinfection
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U9HL8GPX\lewl[1].exe=>(NSIS o)=>lzma_nsis0001
 Supprimé
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U9HL8GPX\lewl[1].exe=>(NSIS o)
 Echec de la mise à jour
 =================
 
c'est la desinfection qui ne s'est pas faite à 100% (a t il un lien avec les merdes qu'on viré précedemment?) ou bien c'est du tout frais...?

bon, j ai une partie de ma réponse... dans C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5, les 4 dossier tmp contiennent moultes executables louches, dont encore defender19.exe, keyboard19.exe, launcher.exe, trewlew.exe, gimmysmileys.exe... tous avec [1] apres le nome de fichier...(donc régénéré je pense...).
tsss... chui vert, je comptais rendre la bécane aujourd'hui!

voici mon log HJT:
 
Logfile of HijackThis v1.99.1
Scan saved at 11:50:33, on 14/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7452165234
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 
=======
 
il a l air propre...

bonjour
 
le log est toujours propre...
 

 
ce sont de vraies plaies ces fichiers de malheur.
 
supprime les, en particulier les exécutables. la gestion de la sécurité sous IE c'est assez pénible et mal fichu, je te conseille d'utiliser un autre navigateur et de laisser IE là ou il le mérite, càd dans son coin. Pense à lancer CCleaner régulièrement, tous les jours par exemple.
 
En attendant,  
 
1/ télécharge le script "Silent Runners"
clic droit> "enregistrer sous" (et non pas clic gauche) sur le lien suivant :
http://www.silentrunners.org/Silent%20Runners.vbs
clique ensuite 2 fois sur "yes"
Laisse lui le temps de faire son analyse. Ne copie pas le log tant que tu n'as pas un message qui s'affiche  
poste le rapport généré qui se trouve dans le meme dossier que Silent Runners...
 
2/ télécharge RKFiles http://skads.org/special/rkfiles.zip
=> dézippe-le sur ton bureau
- démarre en mode sans échec (profites-en pour lancer CCleaner, il sera plus efficace)
- Double-click sur le fichier RKFiles.bat pour le lancer.
- attends que la fenêtre noire de commande se ferme, sans tenir compte de ce qui est écrit dedans. Ca peut prendre plusieurs dizaines de minutes.
- le rapport sera sauvé dans le fichier c:\log.txt
- ce rapport, une fois complet, comportera obligatoirement les dernières lignes suivantes :
"finished
bye"
sinon c'est que le scan n'est pas terminé
Redémarre normalement et poste-le.  
Si ton antivirus s'affole, autorise ce script. Ou au pire, désactive-le juste le temps du téléchargement et du scan. Ce script n'est pas dangereux.

Si tu ne connais pas ce programme, fixe cette ligne :
 
  O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe  [C'est diarait-on un adware]
 
Pour les crasses trouvées dans les dossiers temporaires, télécharge Cleanup et exécute-le, ton ordi tournera plus vite !
 
http://www.stevengould.org/downloa [...] nUp451.exe
 
Bien à toi,
 
 
 
Suis tout de même la démarche de eZula... Ces programmes nous permettront d'en avoir le coeur net...

1/ télécharge le script "Silent Runners"
> le DL ne démarre pas... j ai essayer d'acceder directement au site www.silentrunners.org, impossible de s'y connecter...

salut wawaseb
 
j'ai bien regardé ce processus RUNXMLPL.exe. J'ai trouvé qques rapports Jotti sur le web, rien de spécial, en tout cas je ne pense pas que ce soit lié à ces pbs. Si tu as des infos officielles...
 
Quant à Cleanup, je préfère éviter de le proposer : suite au passage de ce soft, certains internautes ont perdu leur apparence xp, d'une manière pratiquement irréversible (même la réparation n'y changeait rien), et cela même avec le mode standard. Bien sur ce n'est pas une généralité, mais dans le doute...

je passe quand même à l'étape 2 sans passer le script silentrunners?
(ou as tu un autre lien?)

télécharge-le ici http://beta.yousendit.com/transfer [...] 31c5833747
 
poste le log complet, puis passe à l'étape suivante avec RKFiles

ok pour l'étape 1.
je deconnecte pour faire l'étape 2... encore merci à vous deux.
 
"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
 
 
Startup items buried in registry:
---------------------------------
 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Program Files\Messenger\MSMSGS.EXE" /background" [MS]
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"preload" = "C:\Windows\RUNXMLPL.exe" ["Wistron"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Zone Labs Client" = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"Windows Defender" = ""C:\Program Files\Windows Defender\MSASCui.exe" -hide" [MS]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Program Files\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "C:\Program Files\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
  -> {HKLM...CLSID} = "Shell Search Band"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = "Microsoft AntiMalware ShellExecuteHook"
  -> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\WINDOW~4\MpShHook.dll" [MS]
 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
 
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "C:\Program Files\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "C:\Program Files\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 
 
Active Desktop and Wallpaper:
-----------------------------
 
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 
 
Enabled Screen Saver:
---------------------
 
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmarque.scr" [MS]
 
 
Enabled Scheduled Tasks:
------------------------
 
"MP Scheduled Scan" -> launches: "C:\Program Files\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]
 
 
Winsock2 Service Provider DLLs:
-------------------------------
 
Namespace Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 
Transport Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\System32\imslsp.dll ["Zone Labs, LLC"], 01 - 06, 27
C:\WINDOWS\System32\ZoneLabs\vetredir.dll ["Computer Associates International, Inc."], 07 - 09, 26
%SystemRoot%\system32\mswsock.dll [MS], 10 - 12, 15 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 13 - 14
 
 
Toolbars, Explorer Bars, Extensions:
------------------------------------
 
Extensions (Tools menu items, main toolbar menu buttons)
 
HKCU\Software\Microsoft\Internet Explorer\Extensions\
{1462651F-F4BA-4C76-A001-C4284D0FE16E}\
"ButtonText" = "Wanadoo"
"Exec" = "http://www.wanadoo.fr" [file not found]
 
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in"
                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]
 
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]
 
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
 
 
Miscellaneous IE Hijack Points
------------------------------
 
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
 
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
 
Missing lines (compared with English-language version):
[Strings]: 1 line
 
 
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
 
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
CA ISafe, CAISafe, "C:\WINDOWS\System32\ZoneLabs\isafe.exe" ["Computer Associates International, Inc."]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZONELABS\vsmon.exe -service" ["Zone Labs, LLC"]
Windows Defender Service, WinDefend, ""C:\Program Files\Windows Defender\MsMpEng.exe"" [MS]
 
 
Print Monitors:
---------------
 
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
 
 
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
  use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 56 seconds, including 18 seconds for message boxes)

R.A.S.
 
on va voir ce que donne RKFiles... attention, le scan peut être assez long.

en effet... 35 mn de scan.
pour ce resultat:
C:\Documents and Settings\Propri‚taire\Bureau\rkfiles  
 
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.  
Files Found in system Folder............  
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
 
Files Found in all users startup Folder............  
------------------------
Files Found in all users windows Folder............  
------------------------
Finished
bye
=============
 
je dois m'absenter toute l'apres midi...j executerai donc vos nouvelles directives, suite à ce log, à partir de ce soir.
 
encore un grand merci à vous.

Bonjour,
je vois que tu galère depuis le 11/05 c'est à dire plusieurs jours sur ce portable et j'aurais une question (un peu HS je le reconnais) : pourquoi n'as tu pas réinstallé windows ? cela t'aurais pris 1 heure ou 1 heure 30 grand max et tout aurais été ok :-)
personnellement, je constate que pas mal de posts sur ce forum sont assez laborieux et durent plusieurs jours pour 'nettoyer' un pc.
(Je songe sérieusement à me lancer dans un topic unique sur l'installation de Windows : les sauvegardes avant install, les systèmes de ghost, ...)
Enfin bon peut-être que je réagis comme cela parce que je suis informaticien et donc quand je rentre chez moi, je ne veux pas me casser le cul a remettre le couvert sur mon pc perso !!!

RKFiles -> raS
 
peut etre que c'étaient des traces ces fichiers. Ce que tu peux faire, c'est lancer le nettoyage avec CCleaner sur chaque session utilisateur, et en mode sans échec.
 
Nettoie en plus tes dossiers temporaires
 
* C:\Temp <- tout ce qu'il y a dedans, et pas le dossier "Temp"
* C:\Windows (ou WinNT)\Temp<- tout ce qu'il y a dedans, et pas le dossier "Temp"
* C:\Documents and Settings\tous les id\Local Settings\Temp <- tout ce qu'il y a dedans, et pas le dossier "Temp"
* C:\Documents and Settings\tous les id\Local Settings\Temporary Internet Files <- tout ce qu'il y a dedans, et pas le dossier "Temporary Internet Files"
* C:\Documents and Settings\tous les id\Cookies <- tout ce qu'il y a dedans, et pas le dossier "Cookies"
*C:\Documents and Settings\Nom\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar <- tout ce qu'il y a dedans, et pas le dossier "jar"
* vider la corbeille  
 
tu fais ça régulièrement.
Encore une fois, pense à autre chose que internet explorer (firefox par exemple)
 
salut TheTooN : c'est vrai que là c'est un petit peu long (à l'image de l'infection). Mais il ne faut pas considérer le formatage comme une fatalité. Les ghost c'est une bonne chose, à condition bien sur que l'image soit propre
Puis 1h-1h30, pas si sur : réinstaller l'O/S, les programmes, les pilotes, les mises à jour... c'est sur que ça n'aurait pas pris 5 jours non plus.

Salut à tous,
 
TheTooN : je te comprends ; mais j'adore nettoyer des ordis... sans formater !
 
eZula : Pour Cleanup, la version 4.5.1 corrige de nombreux bugs... Testor change aussi certaines options de style, mais TOUTES sont réversibles... Ecris-moi en privé pour m'expliquer ce que tu veux reconfigurer...
En ce qui concerne "RUNXMLPL.exe", il s'agit à priori d'un adware ! Les éditeurs jouent sur les mots ; par contre, il est EVIDENT pour moi que ce processus n'appartient pas à un programme connu ou à un driver spécifique ! Qu'il soit "trojan", "spyware" ou "virus", un exécutable non-identifié n'a rien à faire dans les clefs "RUN" !!!!!
 
Bien à vous,

Ok alors je comprend ;-)
Bon courage pour ce nettoyage :-)

 
moi je n'ai rien à reconfigurer, mais depuis les incidents vécus par certains utilisateurs, je ne le propose plus du tout, c'est aussi simple (même s'il y a un correctif depuis). CCleaner fait la même chose, même si de toutes manières je pense que le meilleur nettoyage est manuel.
 

 
c'est lié à Wistron. A quoi sert ce machin je ne sais pas et il est tout à fait possible de dégager cette entrée. Une chose est sûre : aucun rapport avec l'infection Alcan-Shorty-CommandService-SmitFraud
 
Sinon on peut le faire scanner ici http://www.virustotal.com/flash/index_en.html
kikiflaouid -> sur cette adresse, tu colles le chemin C:\Windows\RUNXMLPL.exe dans la case "parcourir" puis clique sur "send" ; lorsque c'est terminé, joins le rapport

re-bien le bonjour à vous, et désolé d'avoir autant tardé...
voic le scan de virustotal:
======================
Complete scanning result of "RUNXMLPL.exe", received in VirusTotal at 05.15.2006, 13:44:04 (CET).
 
Antivirus Version Update Result
AntiVir 6.34.1.27 05.15.2006 no virus found
Avast 4.6.695.0 05.12.2006 no virus found
AVG 386 05.14.2006 no virus found
BitDefender 7.2 05.15.2006 no virus found
CAT-QuickHeal 8.00 05.15.2006 no virus found
ClamAV devel-20060426 05.15.2006 no virus found
DrWeb 4.33 05.15.2006 no virus found
eTrust-InoculateIT 23.72.8 05.14.2006 no virus found
eTrust-Vet 12.4.2209 05.15.2006 no virus found
Ewido 3.5 05.15.2006 no virus found
Fortinet 2.76.0.0 05.15.2006 no virus found
F-Prot 3.16c 05.12.2006 no virus found
Ikarus 0.2.65.0 05.15.2006 no virus found
Kaspersky 4.0.2.24 05.15.2006 no virus found
McAfee 4761 05.12.2006 no virus found
Microsoft 1.1372 05.13.2006 no virus found
NOD32v2 1.1538 05.15.2006 no virus found
Norman 5.90.17 05.12.2006 no virus found
Panda 9.0.0.4 05.14.2006 no virus found
Sophos 4.05.0 05.15.2006 no virus found
Symantec 8.0 05.15.2006 no virus found
TheHacker 5.9.7.143 05.15.2006 no virus found
UNA 1.83 05.12.2006 no virus found
VBA32 3.11.0 05.15.2006 no virus found
 
Aditional Information
File size: 40960 bytes
MD5: f8952d66674683e3763d4ac930d3c3c1
SHA1: 5b05e47cc21b4ddaf2a18ddf86800f9cb6b6c687
=================

les fichiers qui saoulaient ne sont plus réapparus dans les temporary internet files, en revenche, le fichier trelew.exe, toujours présent sous C: donne ce resultat avec le scan sélectif de virus total...(pas mal ce principe dailleurs):
 
STATUS: FINISHEDComplete scanning result of "Trelew.exe", received in VirusTotal at 05.15.2006, 14:22:04 (CET).
 
Antivirus Version Update Result  
AntiVir 6.34.1.27 05.15.2006 DR/Dropper.VB.MZ  
Avast 4.6.695.0 05.12.2006  no virus found  
AVG 386 05.14.2006  no virus found  
BitDefender 7.2 05.15.2006 Dropped:Trojan.Dropper.VB.MZ  
CAT-QuickHeal - 05.15.2006  no virus found  
ClamAV devel-20060426 05.15.2006 Trojan.Dropper.VB-10  
DrWeb n -  no virus found  
eTrust-InoculateIT 23.72.8 05.14.2006  no virus found  
eTrust-Vet 12.4.2209 05.15.2006  no virus found  
Ewido 3.5 05.15.2006  no virus found  
Fortinet 2.76.0.0 05.15.2006 W32/VB.MZ!tr  
F-Prot 3.16c 05.12.2006  no virus found  
Ikarus 0.2.65.0 05.15.2006 AdWare.Win32.EZula.bn  
Kaspersky 4.0.2.24 05.15.2006 Trojan-Dropper.Win32.VB.mz  
McAfee 4761 05.12.2006  no virus found  
Microsoft 1.1372 05.13.2006  no virus found  
NOD32v2 1.1538 05.15.2006  no virus found  
Norman 5.90.17 05.15.2006  no virus found  
Panda 9.0.0.4 05.14.2006  no virus found  
Sophos 4.05.0 05.15.2006  no virus found  
Symantec 8.0 05.15.2006  no virus found  
TheHacker 5.9.7.143 05.15.2006  no virus found  
UNA 1.83 05.12.2006  no virus found  
VBA32 3.11.0 05.15.2006 no virus found  
 
 
Aditional Information  
File size: 310122 bytes  
MD5: c4e01216414911a7b15651255bdfdf27  
SHA1: 897126e9865db1b152dc93d526941d7463d4da03  
====================
autre chose, la bécane est equipée de 256 Mo de RAM, le système n'en reconnait que 196 environ... (ca peut avoir un lien avec l'infection?)

salut
 
oui c'est bien pratique pour se faire une bonne idée sur la nature d'un fichier.
Supprime donc Trelew.exe
 
Pour "RUNXMLPL.exe", je vais faire comme Saint-Thomas

Pour "RUNXMLPL.exe", je vais faire comme Saint-Thomas > je dois manquer de culture religieuse pour comprendre...
 
pour trelew.exe, ya pas de démarche particuliere... je le supprime, je vide la corbeille, je redemarre et faiis une recherche?
et sil me refuse l'accès, je teste de renommer, déplacer, supprimer?
et sil ne veut rien entendre, je peux passer par HJT, et faire un delete on reboot?

aucun antivirus ne semble détecter de pb avec ce fichier RUNXMLPL.exe
saint Thomas ne croit que ce qu'il voit me semble-t-il
donc moi je laisserais, maintenant ce n'est que mon avis, wawaseb a donné le sien, aussi.
 
Pour trelew, tu peux le supprimer en mode sans échec s'il résiste. Mais la manip avec HJT est peut etre plus simple, elle t'évitera de passer par le mode ss echec. Il faut le supprimer de toutes façons (+ vider corbeille of course)

bon...trelew supprimé, rapport BD clean, point de restauration pas propre supprimé.
nouveau point propre créer.
je peux me considérer comme efficacement désinfecté?
heu...et pour mon probleme de RAM (dit plus haut), ya des soft pour déterminer si la ram est défectueuse, ou si c'est XP qui débloque?
merci.