[Résolu] EGDAccess, scanreg.exe, infection Wareout et autres

Bonjour,

j'ai un souci avec le rapport AVG, il est énorme = 1280 Ko en .txt.

Comment le poster:jcépa:

Salut Bobby

Autant pour moi Embarassed

j'ai oublié ci-joint. Haha

Voici le rapport zippé

T'as été plus rapide que moi kesako

C'est Gator (un ad-aware) qui a pris ses aises dans le registre du PC. Mr. Green

AVG a bien bossé et n'a supprimé que des trucs illégitimes.
Poste un nouveau rapport HijackThis et donne moi des nouvelles du PC.

Est-il plus rapide?

L'envoi des messages électroniques est il de nouveau possible?

N'y a t il plus de publicités intempestives?

Bref est ce que le PC fonctionne normalement?
Et n'oublie pas de me dire pour le SP2.

Logfile of HijackThis v1.99.1
Scan saved at 12:11:29, on 17/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe
C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\HJT\scan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 -BarreOut. MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 -BarreOut. &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 -BarreOut. &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Controleur de calendrier pour Ulead Photo Express] C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra du menu contextuel &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra du menu contextuel E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Bouton Extra: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Bouton Extra: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{182FDAD6-BE19-48FA-9E68-99DD571BE55E}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{182FDAD6-BE19-48FA-9E68-99DD571BE55E}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)
O23 - Service: Network Provisioning DDE - Unknown owner - C:\WINDOWS\system32\lsass.com (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)

Une partie de la précédente procédure (suppression des services nocifs n'a pas été faite ou n'a pas fonctionné).

Arrête le service Network Provisioning DDE:
Fais Démarrer/Executer/saisis services.msc
Dans la liste des services cherche celui nommé précisément Network Provisioning DDE. Double clique dessus.
Vérifie que dans Chemin d'accès des fichiers executables, tu as bien C:\WINDOWS\system32\lsass.com
Si c'est le cas:
Dans Etat du service, Clique sur Arrêter
Dans Type de démarrage, choisis Désactiver.
Fais OK pour enregistrer les modifications.

Arrête le service Microsoft authenticate service (MsaSvc):
Fais Démarrer/Executer/saisis services.msc
Dans la liste des services cherche celui nommé précisément Microsoft authenticate service (MsaSvc). Double clique dessus.
Vérifie que dans Chemin d'accès des fichiers executables, tu as bien C:\WINDOWS\System32\msasvc.exe
Si c'est le cas:
Dans Etat du service, Clique sur Arrêter
Dans Type de démarrage, choisis Désactiver.
Fais OK pour enregistrer les modifications.

Relance HijackThis.
Clique sur None of the above Just start The Program. Clique sur le bouton Config puis sur le bouton Misc Tools. Ensuite choisis Delete a NT Service.

Dans le champ tu copies exactement le nom suivant:
Network Provisioning DDE puis OK.
Tu recommences en copiant cette fois le nom suivant:
Microsoft authenticate service (MsaSvc) puis OK.

Est ce que le PC fonctionne bien?
Si oui, il est temps de faire les mises à jour par Windows Update. (Démarrer/Windows Update).
S'il n'y a pas de contre-indications particulières installe le SP2 de Windows XP.

Si le PC n'a pas retrouvé son fonctionnement normal ou si le SP2 de Windows XP ne peut pas être installé sur ce PC pour une raison particulière, ne lance pas Windows Update et dis le moi. Wink

Il est nécessaire de faire les mises à jour de XP avant de lancer un scan en ligne antivirus (pour terminer la désinfection). Sans les mises à jour, le PC est trop vulnérable pour rester connecté longtemps à Internet. Wink

-------------------------------------
En attendant la réouverture du forum Sécurité et Virus d'Informastuce vous pouvez demander de l'aide pour désinfecter votre pc sur mon forum perso http://www.vista-xp.fr/forum/aide-pour-supprimer-les-virus-analyses-hijackthis-f30.html
Inscrivez-vous puis postez votre demande d'aide.
Marie

Bonsoir,

donc j'ai fais ce que tu m'as dit.

Il avait un pb avec sa clé depuis une vérole qu'il avait chopé à la réunion.

Un réparateur s'en était occupé

Bref, j'ai du réenregistré sa clé avec l'outil à billou.

Puis les maj de windows jusqu'à sp2 qui a attendu la fin pour me signaler l'echec grrr

Demain j'essayerais de l'installé directement.

Sinon il va pas mal thumright

Merci MARIE de ton aide thumright

Quand je suis parti, il (le pc) téléchargeait encore des maj de sécurité pour XP.

Bref je te tiens au courant et voilà

Merci encore pour le travail que tu m'as donné salut

C'est le réparateur qui lui a fait acheté

Il est bien mis à jour quotidiennement Nod32?
Parce que si là aussi il y a un problème de clé-produit, les mises à jour automatiques ne se font plus.
A l'occasion, jette un oeil dans la configuration de Nod32 pour voir la date des dernières MAJ. Wink