virus freeprod

Bonjour,
Je peux enfin me connecter et vous ecrire!!!
J'ai été atteint hier par un virus (à priori "freepod", mais il y en a tellement que je ne sais plus lequel c'est). Je suis protégé par avast plus des antispywares : microsoft antyspyware version béta, ad aware6, spybot.
Depuis tout et n'importe quoi.
Ma machine rame comme c'est pas possible
J'ai des messages d'erreur
Des trojans à la pelle
si je reste connecté, des sites s'ouvrent en me demandant de me connecter pour faire un scan disque
Etc....!!!!!

J'ai repassé un scan d'avast qui a enlevé quelques "trucs"
Mais il continue a me trouver des trojan, des virus en protection résidente.
J'ai formaté et réinstallé le minimum pour regler ce probleme et je sens qu'il se remet à ramer et les attaques bloquées par avast continuent.

J'ai donc fait un rapport avec HijackThis et je vous le post.
Si vous pouviez m'aider car je déprime.
Merci d'avance pour votre aide.




Logfile of HijackThis v1.99.1
Scan saved at 18:57:42, on 09/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\win32ssr.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\iowgy.exe
C:\WINDOWS\System32\wiou.exe
C:\mousepad1.exe
C:\WINDOWS\System32\bbojy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\FICHIERS EXE\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [Dark Personal Firewall] winmsfw.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Binary Runtime Service] C:\WINDOWS\System32\iowgy.exe
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\wiou.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe
O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys1.exe
O4 - HKLM\..\Run: [ihost.exe] C:\WINDOWS\System32\bbojy.exe
O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Dark Personal Firewall] winmsfw.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKCU\..\Run: [Dark Personal Firewall] winmsfw.exe
O4 - HKCU\..\Run: [ffuq] C:\PROGRA~1\FICHIE~1\ffuq\ffuqm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXJpYyBCYXJkaW4\command.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe



Cordialement
Eric

Hugh!erbrddin

A supprimer sans sourciller(beaucoup de p'tites bêbêtes!) et de préférence en mode sans échec puis redonne nous le nouveau log:

Méchants:
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\win32ssr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

Inconnu (supprimer dans le doute si ça te dis rien de précis):
C:\WINDOWS\System32\iowgy.exe
C:\WINDOWS\System32\wiou.exe
C:\mousepad1.exe
C:\WINDOWS\System32\bbojy.exe

O4 - HKLM\..\Run: [Dark Personal Firewall] winmsfw.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\Run: [Microsoft (R) Windows Binary Runtime Service] C:\WINDOWS\System32\iowgy.exe

O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\wiou.exe

O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe

O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe

O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys1.exe

O4 - HKLM\..\Run: [ihost.exe] C:\WINDOWS\System32\bbojy.exe

O4 - HKLM\..\Run: [Windowsz] rwnt.exe

O4 - HKLM\..\RunServices: [Dark Personal Firewall] winmsfw.exe

O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe

O4 - HKCU\..\Run: [Dark Personal Firewall] winmsfw.exe

O4 - HKCU\..\Run: [ffuq] C:\PROGRA~1\FICHIE~1\ffuq\ffuqm.exe

O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe


Inutil a supprimer:
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXJpYyBCYXJkaW4\command.exe (file missing)

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)

PS: Si tu veux mon avis supprime même les lignes Inconnues car il y a toujours une option backup au cas où...
Un bon Nettoyage est plus que conseillé...

WôAtoi.

Hugh à toi et thank you

Je supprime un a un manuellement dans chaque dossiers ou j'utilise hitch...?
Merci

Rehugh!
Pour les lignes C:, tu y vas a la main et supprime les .exe à la main. (mode sans échec aussi c'est mieux)
Celles-ci seulement si elles te sont inconnues:
C:\WINDOWS\System32\iowgy.exe
C:\WINDOWS\System32\wiou.exe
C:\mousepad1.exe
C:\WINDOWS\System32\bbojy.exe
Les autres lignes tu les fixent depuis Hijackthis en mode sans échec égallement.
WôAmonAvis.

Voilà, j'ai fait ce que tu m'as dit et ça donne ça:

Logfile of HijackThis v1.99.1
Scan saved at 21:10:06, on 09/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winamp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\upuub.exe
c:\mousepad1.exe
D:\FICHIERS EXE\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ihost.exe] C:\WINDOWS\System32\upuub.exe
O4 - HKLM\..\Run: [mousepad] c:\\mousepad1.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXJpYyBCYXJkaW4\command.exe (file missing)
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\System32\lxcfcoms.exe
O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)



Par contre, dès le redémarrage, il a planté et redémarré tout seul et ensuite avast m'a fait bloquer des Win32:Trojano-2873 [Trj] et il a fallu que je redémarre encore une fois.

Hop encore un Win32:Trojano-2873 [Trj] (juste maintenant)

Je ne "pige" pas comment ils peuvent être là alors que j'ai réinstallé xp en formatant la partition. Je n'ai par contre pas touché à ma partition de sauvegarde de mes fichiers audio et video mais après plusieurs scans, elle avait l'air saine!!!!

Je m'arrache les cheveux (ceux qui me restent).
Merci

Hugh!
Tu as bien fixé ses lignes en mode sans échec?
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXJpYyBCYXJkaW4\command.exe (file missing)

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)

Elles sont étiquetées comme inutiles mais apparemment le bonbon colle au papier!

Et celles-ci Inconnues les as-tu laissées intentionnellement?
C:\WINDOWS\System32\upuub.exe
c:\mousepad1.exe
O4 - HKLM\..\Run: [ihost.exe] C:\WINDOWS\System32\upuub.exe
O4 - HKLM\..\Run: [mousepad] c:\\mousepad1.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\System32\lxcfcoms.exe

Sinon, repars en mode sans échec et refais la manip depuis Hijackthis en fixant ces lignes. Il y a de nouvelles lignes qui sont apparues entre temps.
Remet un log et on attend le grand chef pour le passage du relais...Je comprend pas ce que signifie cette histoire de trojano. En esperant que t'as pas chopé quelquechose dans le Bios.
WôAwait&See.

ok je refais ça et je te l'envoie. Tu penses que le grand chef pourras voir ça demain matin?
Merci pour tout

Voici ce qu'il y a dans mon dossier c: (pourtant après la première manip que tu m'a mentionée.

http://img308.imageshack.us/my.php?image=dossierc2an.jpg

Hugh!
T'inquiéte, hourrrah passera probablement ce soir...Il rôde tard en général...Le chemin des .exe n'est pas uniquement à la racine de C: mais dans les sous dossiers de Windows.
Par précaution attendaons de voir ce qu'il en pense.
Comment se comporte ta connexion?...
En attendant, j'aurai tendance à t'inviter a desactiver la restauration systéme et à aller en mode sans échec supprimer les derniéres lignes indiquées au dessus puis a revenir en mode normal et reactiver la restauration systéme...Puis, nouveau log...Ca ferrai avancer le shmilblick à mon avis de Renard.
WôA.

J'ai donc refait tout ça et ça me fait à chaque fois la même chose, à savoir:

- en sans echec, hijackthis, je fixe ce que tu m'as dis
- je supprime manuellement les fchiers dans c: que tu m'as indiqué
- je re hijac... pour verifier et je redémarre
- j'arrive sur l'ecran de mes sessions, je clique sur la session principale et là il redémarre encore (tout seul)
- une fois sur le bureau avast me dit :"avast! detected unauthorized modification of this file (C:\PROGRA~\avast4\ashDisp.exe), continuing can be dangerous. run anyway?, je réponds oui (t'inquiètes pas j'ai bien compris ce qu'il m'a dit mais pourquoi il me dit ça????) car je n'ai pas touché à ashDisp.
- là, avast veut que je redémarre, ce que je fais
- j'arrive encore sur l'ecran des session, j'entre et hop! reboot.
- finalement j'arrive sur le bureau et au bout de quelques secondes avast arrete deux ou trois "Win32:Trojano-2873 [Trj]"

J'ai fais deux fois ça en entier et systématiquement c'est la même chose.

pour finir, alors que je les ai enlevé en mode sans echec, j'ai six fichiers qui reaparaissent dans c:
drsmartload1
gimmysmileys1
keyboard1
mousepad1
pgbt
et un fichier texte: lxcf

Voilà, je crois que j'ai été le plus précis possible et je relog mon dernier hijackthis:



Logfile of HijackThis v1.99.1
Scan saved at 22:17:41, on 09/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winamp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\iwbat.exe
C:\mousepad1.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\FICHIERS EXE\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ihost.exe] C:\WINDOWS\System32\iwbat.exe
O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys1.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Merci pour ton aide

Eric

Je vais donc le laisser éteint pour ce soir et j'espère que quelqu'un pourra m'aider demain matin. Merci encore pour votre aide
Eric

Hugh!
Télecharge a²squared: (anti trojan) http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/26618.html
Enregistre toi sur leur site (freeware) et fais un scan avec sur ta bécanne.(toute la bécanne!)
Fais égallement un scan en ligne avec Kapersky qui serait efficace pour freeprod: http://www.kaspersky.com/virusscanner.
As-tu nettoye freeprod de ton registre avec Regseeker par exemple (http://www.01net.com/telecharger/windows/Utilitaire/systeme/fiches/29399.html)
WôAbonneNuit.

ok, j'ai fait un a-squared (6 malwares supprimés), en mode normal (pas sans echec!), redémarré et des l'ouverture, re trojano et adware-gen...

je lance kapersky en ligne et après!!!!!
merci
Eric

Hugh
Utilise Regseeker (voir au dessus) pour nettoyer ton registre de freeprod.
WôAlors.

je l'ai fait mais rien ça recommence après un redémarrage (quand il veut bien redémarrer car des fois il reboote 2 ou 3 fois) et freeprod(virus) se reinstalle. avec les trojano, les adware-gen....

Il n'y a que kapersky que je n'ai pas encore fait mais je n'y crois plus. Je suis prêt à reformater ma partition et tout reinstaller mais je l'ai déjà fait et tout revient. Que faire???

Hugh!
Ca ne sert a rien de reformater apparement.
Fais le scan de Kapersky qui a apporté à certains dans ton cas des résultats probants. Je te conseille de desactiver la restauration systéme d'aller en mode sans échec avec prise en charge réseau de faire le scan en ligne et de revenir en mode normal puis de réactiver la restauration systéme.
N'oubli pas de passer un coup de regseeker en cochant HKEY_USERS et HKEY_CURRENT_CONFIG dans ta recherche de freeprod.
Déséspere pas, on va y arriver en douceur...
Je repasse vers 12h00.
WôAmi.

ok, j'y vais merci
Non je ne désespère pas, j'irais presque jusqu'à dire que ça m'intéresse assez d'effectuer ces manips, on apprend des choses. Mais bon en attendant je me mets en retard sur pas mal de trucs. Enfin soyons zen, il y a des choses plus graves que ça!!!
Allez je vais faire ce que tu me préconise.
Merci

lequel je prends kapersky online scanner ou kapersky file scanner??

j'ai passé Kapersky scan on line mais il ne me propose pas de supprimer les objets infectés et les 10 virus.
Je ne peux pas mettre le rapport cat il est trop long.
J'essaie de le mettre en deux fois

KASPERSKY ON-LINE SCANNER REPORT
Friday, March 10, 2006 11:40:54 AM
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 10/03/2006
Kaspersky Anti-Virus database records: 170184


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\

Scan Statistics
Total number of scanned objects 35599
Number of viruses found 10
Number of infected objects 405
Number of suspicious objects 0
Duration of the scan process 01:03:13

Infected Object Name Virus Name Last Action
C:\Documents and Settings\Papa\Local Settings\Temporary Internet Files\Content.IE5\M14JUH8T\gimmysmileys1[1].exe Infected: Virus.Win32.Sality.l skipped

C:\Documents and Settings\Papa\Local Settings\Temporary Internet Files\Content.IE5\MJK7MV4B\drsmartload[1].exe Infected: Virus.Win32.Sality.l skipped

C:\Documents and Settings\Papa\Local Settings\Temporary Internet Files\Content.IE5\MJK7MV4B\keyboard1[1].exe Infected: Virus.Win32.Sality.l skipped

C:\Documents and Settings\Papa\Local Settings\Temporary Internet Files\Content.IE5\MJK7MV4B\launcher[2].exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped

C:\Documents and Settings\Papa\Local Settings\Temporary Internet Files\Content.IE5\MJK7MV4B\launcher[2].exe NSIS: infected - 1 skipped

C:\Documents and Settings\Papa\Local Settings\Temporary Internet Files\Content.IE5\QJIH6DEJ\mousepad1[1].exe Infected: Virus.Win32.Sality.l skipped

C:\drsmartload1.exe Infected: Trojan-Downloader.Win32.VB.ya skipped

C:\gimmysmileys1.exe Infected: Virus.Win32.Sality.l skipped

C:\keyboard1.exe Infected: Virus.Win32.Sality.l skipped

C:\mc-110-12-0000144.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped

C:\mc-110-12-0000144.exe NSIS: infected - 1 skipped

C:\mousepad1.exe Infected: Virus.Win32.Sality.l skipped

C:\pgbt.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\a-squared\a2start.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\a-squared\a2upd.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashAvast.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashBug.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashChest.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashDisp.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashLogV.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashPopWz.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashQuick.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashServ.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashSimp2.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashSkPck.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Alwil Software\Avast4\sched.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\E-Color\3Deep\3Deepctl.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\E-Color\3Deep\3DeepWizard.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\E-Color\3Deep\creg.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\E-Color\3Deep\infsortRunner.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\E-Color\Registration\SonnReg.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\E-Color\True Internet Color\TICIcon.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Fichiers communs\Microsoft Shared\Artgalry\ARTGALRY.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Fichiers communs\Microsoft Shared\Artgalry\CAG.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\msinfo32.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\OFFPROV.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Fichiers communs\Microsoft Shared\Speech\sapisvr.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Internet Explorer\Connection Wizard\icwconn2.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Internet Explorer\Connection Wizard\icwrmind.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Internet Explorer\Connection Wizard\icwtutor.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Internet Explorer\Connection Wizard\inetwiz.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Internet Explorer\Connection Wizard\isignup.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Internet Explorer\IEXPLORE.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Lavasoft\Ad-aware 6\Lang\Language-pack 2\UNWISE.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Lavasoft\Ad-aware 6\unregaaw.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Lavasoft\Ad-aware 6\Unwise.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Lexmark 730 Series\Drivers\lxcfunst.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Messenger\msmsgs.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\1036\MSOHELP.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\1036\PROJWIZ.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\1036\WRKGADM.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\EXCEL.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\FINDER.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\GRAPH9.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\MSACCESS.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\MSOHTMED.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\OSA9.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\POWERPNT.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\WAVTOASF.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Microsoft Office\Office\WINWORD.EXE Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Movie Maker\moviemk.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN\MSNCoreFiles\copymar.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN\MSNCoreFiles\msn6.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN\MSNCoreFiles\Setup\msnunin.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN\MSNCoreFiles\update.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN Gaming Zone\Windows\bckgzm.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN Gaming Zone\Windows\chkrzm.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN Gaming Zone\Windows\hrtzzm.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN Gaming Zone\Windows\rvsezm.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN Gaming Zone\Windows\shvlzm.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\MSN Gaming Zone\Windows\zclientm.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\NetMeeting\cb32.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\NetMeeting\conf.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\NetMeeting\wb32.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Outlook Express\msimn.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Outlook Express\oemig50.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Outlook Express\setup50.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Outlook Express\wab.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Outlook Express\wabmig.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Spybot - Search & Destroy\blindman.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Spybot - Search & Destroy\Update.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Spybot - Search & Destroy\Updates\immufix.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\ToniArts\EasyCleaner\EasyClea.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Windows Media Player\dlimport.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Windows Media Player\mplayer2.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Windows Media Player\setup_wm.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Windows Media Player\wmplayer.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Windows NT\Accessoires\wordpad.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Windows NT\hypertrm.exe Infected: Virus.Win32.Sality.l skipped

C:\Program Files\Windows NT\Pinball\pinball.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\hh.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\inf\unregmp2.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\accicons.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\bindico.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\misc.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\outicon.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\pptico.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{0001040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{350C97B8-3D7C-4EE8-BAA9-00BCB3D54227}\places.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\Installer\{536F7C74-844B-4683-B0C5-EA39E19A6FE3}\gcasSWUpdater.exe_536F7C74844B4683B0C5EA39E19A6FE3.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\IsUninst.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\msagent\agentsvr.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\notepad.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpHost.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpSvc.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\notiflag.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\PCHEALTH\UploadLB\Binaries\UploadM.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\pmxreg.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\regedit.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\QJIH6DEJ\rp5[1].exe Infected: Backdoor.Win32.Aimbot.cq skipped

C:\WINDOWS\system32\evphthv.exe Infected: Trojan-Proxy.Win32.Agent.if skipped

C:\WINDOWS\system32\fwhq.exe Infected: Backdoor.Win32.Rbot.apd skipped

C:\WINDOWS\system32\hcgxa.exe Infected: Trojan-Proxy.Win32.Agent.if skipped

C:\WINDOWS\system32\irdtoq.exe Infected: Trojan-Proxy.Win32.Agent.if skipped

C:\WINDOWS\system32\iwbat.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\system32\kxzubzhr.exe Infected: Trojan-Proxy.Win32.Agent.if skipped

C:\WINDOWS\system32\lfpi.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\system32\mpxo.exe Infected: Trojan-Proxy.Win32.Agent.if skipped

C:\WINDOWS\system32\mqjq.exe Infected: Trojan-Proxy.Win32.Agent.if skipped

C:\WINDOWS\system32\nserafqp.exe Infected: Trojan-Proxy.Win32.Agent.if skipped

C:\WINDOWS\system32\pmxinit.exe Infected: Virus.Win32.Sality.l skipped

C:\WINDOWS\system32\putwk.exe/data0006 Infected: Trojan-PSW.Win32.LdPinch.agm skipped

C:\WINDOWS\system32\putwk.exe NSIS: infected - 1 skipped

etc, etc............

j'ai enregistré le rapport sous word mais je ne sais pas comment l'envoyer a part par mail

Hugh!
Sacré bazarre (pour rester poli!)...Bon je reviens en fin de journée essayer de t'apporter une solution digne de ce nom.
En attendant si quelqu'un passe...
WôAtouteAl'Heure.

ok ben je vais contuinuer en sans echec à passer tous mes antispyware, avst, spybot ad aware6, nettoyage de registre fixer avec hija...etc...
et je vais attendre ton retour ou peut-être Hourrah si il passe par là.
Merci pour tout et à plus
Eric

Bonjour Errbardin,

A essayer :

Pendant que vous êtes en mode sans échec et que vous lancez les utilitaires,
profitez de regarder dans C:\Windows si vous trouvez le fichier "Win32ssr.exe".

S'il y est vous le supprimez.

Puis vous lancez "Regedit" et vous faites une recherche sur "Win32ssr" et vous supprimez éventuellement toutes les clés trouvées.

Regardez aussi dans Msconfig, onglet "Démarrage" s'il y a ce fichier coché coché (si oui le décocher).

Tenez-nous au courant.

ok merci Yora, je m'y atelle immédiatement
Eric