Virus bloquant microsoft.com, avg.com, etc ..

Question

Bonjour,

Je viens créer mon propre post car j'ai exactement problème que celui décrit ici :
http://www.commentcamarche.net/forum/affich 10434589 un virus empechant d acceder a avg com

A savoir que suite à une installation de Windows, je me connecte à internet grâce à une neufbox en ethernet et tout semble se passer bien sauf que je n'ai pas accès à tout un tas de site "important" tels que microsoft.com, grisoft, avg.com, ... et même https://www.trendmicro.com/fr_fr/business.html par exemple qui m'aurait aidé à analyser la trace que m'a sorti hijackthis.

Je pense à un virus quelconque, j'ai donc suivi la procédure décrite dans le lien plus haut pour voir si "rooter" puis "hijackthis" pouvait m'aider.

Voici les 2 logs, si qqun peut m'aider merci d'avance.


Rooter :



Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) )
BIOS : Version 07.00T
USER : jedi ( Administrator )
BOOT : Normal boot

Antivirus : AVG Anti-Virus Free 8.0 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:7 Go (Free:3 Go)
D:\ (Local Disk) - NTFS - Total:4 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:66 Go (Free:20 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)

13/01/2009|19:39

----------------------\ Search..

----------------------\ Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64]


----------------------\ Cracks & Keygens..

C:\DOCUME~1\jedi\Recent\Crack - M$ Windows XP & Pro SP2 Keygen + Auto Key Changer (ok idz).lnk
C:\DOCUME~1\jedi\Recent\Prevx1 Pc Security Crack Updated-Fixed 07-2006.lnk
C:\DOCUME~1\jedi\Recent\Windows Xp Sp2 Keygen with auto key changer [pleasuredome101].lnk


1 - "C:\Rooter$\Rooter_1.txt" - 12/01/2009|22:22
2 - "C:\Rooter$\Rooter_2.txt" - 13/01/2009|19:41

----------------------\ Scan completed at 19:41


HijackThis



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:57, on 13/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\iolo\common\lib\ioloServiceManager.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
End of file - 5975 bytes

jacques.gache · Accepted Answer

bonjour
une question ton windows est il légal car je vois des cracks qui me permette de douter ??? 
C:\DOCUME~1\jedi\Recent\Crack - M$ Windows XP & Pro SP2 Keygen + Auto Key Changer (ok idz).lnk 
C:\DOCUME~1\jedi\Recent\Prevx1 Pc Security Crack Updated-Fixed 07-2006.lnk 
C:\DOCUME~1\jedi\Recent\Windows Xp Sp2 Keygen with auto key changer [pleasuredome101].lnk

InfernO.vir · Answer

Slt a vous deux,

Jacques.gache, je pense que tu sais aussi bien que moi que son Windows est illegal, a quoi bon avoir des cracks (probablement infectés) pour windows si celui-ci est acheté tout a fait legalement ?!

jacques.gache · Answer

oui mais je voudrais qu'il me le dise franchement car comme il est infecté par bagle ici 
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\ 
et en cour de désinfection  si l'un des outils utilisé vires windows je veux pas qu'il puisse dire que c'est moi qui lui est fais planter, il faut qu'il prenne consiance que quand on est assé grand pour jouer avec le feu il faut savoir l'éteindre tout seul

InfernO.vir · Answer

En effet, c'est a ses risques et perils !

"et en cour de désinfection si l'un des outils utilisé vires windows"

Tu penses a combofix ?

jacques.gache · Answer

entre autre mais j'ai vu le cas avec malwarebytes !!!

scroutix · Answer

Bonjour à vous 2,

Oui en effet j'ai des cracks pour le SP2, le téléchargement de celui-ci ne s'étant pas fait automatiquement après le SP1 j'ai dû faire appel à la mule. A mes risques et périls comme vous dites, je vous dégage de toute responsabilité :)
Windows Update n'avait qu'à faire son boulot. 

J'ai fait une image ghost donc tant pis si tout plante. Vous me conseillez donc quoi ?
Merci d'avance.

jacques.gache · Answer

scroutix bonjour, passes findykill  option 1 et option 2 et puis tu le désinstalles tu postes les rapports au furet à mesure et tu mets un nouveau hijackthis pour contrôle, Merci




Télécharge FindyKill (de Chiquitine29) 

.Fais un double-clique  sur le lien

.enregistres le sur bureau 

.Lances l'installation avec les paramètres par défaut 

.Double-clique sur le raccourci FindyKill sur ton bureau 

.Au menu principal, choisis l'option 1 (Recherche) 

.Postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur) 

tutoriel si besoin: https://www.malekal.com/tutorial-findykill/




NETTOYAGE

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir 


.Relances FindyKill 

.Cette fois, choisis l'option 2 (Suppression) au menu principal 

.Il y aura 2 redémarrages, laisses le travailler  jusqu'à l'apparition du message "nettoyage effectué" ! 

.Ensuite postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur) 

Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides 



POUR LE DESINSTALLER



.Relances FindyKill 

.Cette fois, choisis l'option  3. Desinstaller FindyKill

scroutix · Answer

Findykill avec option 1 : ----------------- FindyKill V4.712 ------------------ * User : jedi - BABASSE * Emplacement : C:\Program Files\FindyKill * Outils Mis a jours le 14/01/09 par Chiquitine29 * Recherche effectuée à 19:46:26 le 14/01/2009 * Windows XP - Internet Explorer 6.0.2900.2180 ((((((((((((((((( *** Recherche *** )))))))))))))))))) --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\LXSUPMON.EXE C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\System32\GEARSec.exe C:\Program Files\iolo\common\lib\ioloServiceManager.exe C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\Google\Google Talk\googletalk.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE --------------- [ Fichiers/Dossiers infectieux ] ---------------- »»»» Presence des fichiers dans C: »»»» Presence des fichiers dans C:\WINDOWS »»»» Presence des fichiers dans C:\WINDOWS\Prefetch »»»» Presence des fichiers dans C:\WINDOWS\system32 »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers »»»» Presence des fichiers dans C:\Documents and Settings\jedi\Application Data »»»» Presence des fichiers dans C:\DOCUME~1\jedi\LOCALS~1\Temp --------------- [ Registre / Startup ] ---------------- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run] SkwatAutoconnect=C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background RocketDock="C:\Program Files\RocketDock\RocketDock.exe" googletalk="C:\Program Files\Google\Google Talk\googletalk.exe" /autostart = SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run] LXSUPMON=C:\WINDOWS\System32\LXSUPMON.EXE RUN = Norton Ghost 9.0=C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe AVG8_TRAY=C:\PROGRA~1\AVG\AVG8\avgtray.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents= HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL= Installed=1 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI= Installed=1 NoChange=1 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS= Installed=1 --------------- [ Registre / Clés infectieuses ] ---------------- Found ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 --------------- [ Etat / Services ] ---------------- +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] Ndisuio - Type de démarrage = 3 Ip6Fw - Type de démarrage = 3 /!\ SharedAccess - Type de démarrage = 4 /!\ wuauserv - Type de démarrage = 4 wscsvc - Type de démarrage = 2 --------------- [ Recherche dans supports amovibles] ---------------- +- Informations : C: - Lecteur fixe D: - Lecteur fixe E: - Lecteur fixe +- presence des fichiers : --------------- [ Registre / Mountpoint2 ] ---------------- -> Not found ! ------------------- ! Fin du rapport ! -------------------- Findykill avec option 2 : ----------------- FindyKill V4.712 ------------------ * User : jedi - BABASSE * executed from : C:\Program Files\FindyKill * Update on 14/01/09 par Chiquitine29 * Start at 19:52:01 the 14/01/2009 * Windows XP - Internet Explorer 6.0.2900.2180 ((((((((((((((( *** deleting *** )))))))))))))))))) --------------- [ Active Processes ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\Program Files\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\userinit.exe --------------- [ Infected files / folders ] ---------------- »»»» Supression files in C: »»»» Supression files in C:\WINDOWS »»»» Supression files in C:\WINDOWS\Prefetch »»»» Supression files in C:\WINDOWS\system32 »»»» Supression files in C:\WINDOWS\system32\drivers »»»» Supression files in C:\Documents and Settings\jedi\Application Data »»»» Supression files in C:\DOCUME~1\jedi\LOCALS~1\Temp »»»» Supression files in C:\Documents and Settings\jedi\Local Settings\Temporary Internet Files\Content.IE5 --------------- [ Registry / Infected keys ] ---------------- Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 --------------- [ States / Restarting of services ] ---------------- +- Services : [ Auto=2 / Request=3 / Disable=4 ] Ndisuio - Type of startup = 3 Ip6Fw - Type of startup = 2 SharedAccess - Type of startup = 2 wuauserv - Type of startup = 2 wscsvc - Type of startup = 2 --------------- [ Cleaning removable drives ] ---------------- +- Informations : C: - Lecteur fixe D: - Lecteur fixe E: - Lecteur fixe +- deleting files : --------------- [ Registry / Mountpoint2 ] ---------------- -> Not found ! --------------- [ Searching Other Infections ] ---------------- --------------- [ Searching Cracks / Keygen ] ---------------- C:\Documents and Settings\jedi\Recent\Crack - M$ Windows XP & Pro SP2 Keygen + Auto Key Changer (ok idz).lnk C:\Documents and Settings\jedi\Recent\Prevx1 Pc Security Crack Updated-Fixed 07-2006.lnk C:\Documents and Settings\jedi\Recent\VSO.Software.Copy.to.DVD.v3.0.60.Cracked-F4CG.lnk C:\Documents and Settings\jedi\Recent\Windows Xp Sp2 Keygen with auto key changer [pleasuredome101].lnk ---------------- ! End of report ! ------------------ Après désinstallation de Findykill, nouveau log Hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:44:07, on 14/01/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\System32\GEARSec.exe C:\Program Files\iolo\common\lib\ioloServiceManager.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\Google\Google Talk\googletalk.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O20 - Winlogon Notify: ldr64 - C:\WINDOWS\ O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

jacques.gache · Answer

1) Tu relances hijackthis comme expliqué pour Fixer les lignes

.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux 
.Lances HijackThis 
.Cliques sur "Do a system scan only" 
.Tu coches les lignes suivantes : 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file)
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\

.Tu cliques sur "Fix Checked" 
.Tu fermes HijackThis 

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm


  2) fais tes mises à jour

regarde pourquoi garder IE à JOUR
rends toi sur ce site et met IE7  http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr
 
désinstalles adobe reader car pas à jour et telecharges et installes cette version : 
http://www.commentcamarche.net/telecharger/telechargement 27 acrobat reader 

fais une analyse de vulnérabilité pour voir si tu n'aurais pas d'autre mises à jour à faire  que nous n'avons pas vu sur hijackthis :    https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
désinstalles l'anciennes version si tu en installes une nouvelle


  3) 
 tu passeras malwarebytes en mode sans echec car c'est comme cela qu'il est le plus efficasse , tu suis bien la procédure et fait bien attention de bien cliquer sur supprimer la sélection  en fin de l'examem complet , et sois patient car il dure près de 2 heures des fois plus alors laisses le travailler et postes le rapport , Merci



Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée,fermes Malwarebytes
. redemarres en mode sans échec  pour savoir comment au cas ou tu ne saurrais pas regarde plus bas
. une fois en mode sans echec tu double-cliques sur l'icône de malwarebytes
. une fois ouvert rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche :
 L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés)
  
. cliques sur Supprimer la sélection
 
. Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré en mode normal double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe 
pour éviter les erreurs ...)

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 
 


. Cliques sur Démarrer
. Cliques sur Arrêter
. Sélectionnes Redémarrer et au redémarrage
. Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
. Utilises les touches de direction pour sélectionner mode sans échec
. puis appuis sur ENTRÉE des fois cela peut prendre plusieurs minute entre la validation et l'affichage 
. Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude 

tuto:http://www.vista-xp.fr/forum/topic93.html

scroutix · Answer

Dès l'étape 2 je ne peux pas mettre à jour IE puisque le virus me bloque toujours le site de microsoft, même après le fix.

Je continue quand même la procédure pour voir et je reviens dès que possible

scroutix · Answer

Me revoilà enfin,

le site malekal.com est également bloqué par le virus, j'ai réussi à trouver MalwareBytes quand même, et parès plus de 2h et 2 petits trojans détectés et supprimés voici le log demandé :

Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1653
Windows 5.1.2600 Service Pack 2

14/01/2009 23:14:51
mbam-log-2009-01-14 (23-14-51).txt

Type de recherche: Examen rapide
Eléments examinés: 15308
Temps écoulé: 3 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Au cas où, tant que j'y suis je mets aussi le 1er log juste apres l'analyse :

Malwarebytes' Anti-Malware 1.32
Database version: 1653
Windows 5.1.2600 Service Pack 2

15/01/2009 22:29:50
mbam-log-2009-01-15 (22-29-39).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 159830
Time elapsed: 2 hour(s), 21 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\jedi\Cookies\MM2048.DAT (Trojan.Agent) -> No action taken.
C:\Documents and Settings\jedi\Cookies\MM256.DAT (Trojan.Agent) -> No action taken.


et celui juste après la suppression :

Malwarebytes' Anti-Malware 1.32
Database version: 1653
Windows 5.1.2600 Service Pack 2

15/01/2009 22:30:10
mbam-log-2009-01-15 (22-30-10).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 159830
Time elapsed: 2 hour(s), 21 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\jedi\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\jedi\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.

scroutix · Answer

oups erreur, en mode sans échec je me suis loggué en administrateur. ( Je ne comprenais pas pourquoi une fois revenu en mode normal je ne retrouvais pas le même log qu'en mode sans échec ).
Est-ce que je dois recommencer mes 2h de scan en mode sans échec ou ça ira quand même ?

jacques.gache · Answer

oui il serait préférable de le refaire sur ta session , et puis tu peux me dire exactement ce que ta afficher IE quand tu as voulu l'installer ?? sinon la on va veriffier si il n'y aurais pas un bagle sur le pc tu passes elibagla tu le passes deux fois en mode normal et deux fois en mode sans echec sur ta session , et tu posteras le rapport , merci je reprenderais demain car la dodo boulot dans 7h 

Rends toi sur ce site : 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
tout en bas de cette page tu trouveras un outil 
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) 
installe ce fichier sur le Bureau. 
ensuite double-clic sur Elibagla.exe 
>laisse la case "eliminar ficheros automaticamente" coché 
>clique sur"explorar" 
>laisse-le travailler 

fais le deux fois en mode normal

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

Relance elibagla et fais le tourner 2 fois. en mode sans echec

>poste le rapport final qui sera dans c:\infosat.txt

scroutix · Answer

Merci pour ton aide. Pour IE je ne peux tout simplement pas aller sur www.microsoft.com, IE me dit "impossible d'afficher la page" ( ou encore "adresse introuvable" quand je suis sur firefox).

Et bien sûr meme problème quand je vais sur www.zonavirus.com GGGRRRRR.
Je vais essayer de le trouver ailleurs, si j'y arrive ... je te tiens au courant.

jacques.gache · Answer

bon sois tu le télécharge sur un autre pc et tu le transfert avec une clé ou autre , sinon essais de déactiver ton pare-feu et tes anti-spyware oui j'ai dis tes car tu as spybot et je pense que AVG doit être avec un anti-spyware deux en temps réel c'est pas bon pour la bonne marche du pc, il est possible que se soit ton pare-feu ou anti-spyware qui te bloque les pages internet , sinon tu peux essayer en mode sans echec avec prise en charge du réseau
pour voir si tu peux avoir accés à la page

scroutix · Answer

Waouh, je suis en "mode sans échec avec acces réseau" et je n'ai plus aucun soucis.
Accès à tous les sites microsoft, grisoft, zonavirus ..... comme si le problème avait disparu ...???

Je fais vite les manip avec elibagla et je te tiens au courant.

jacques.gache · Answer

ok c'est surrement un bagle qui bloque tu passeras elibagla en mode comme tu es et puis tu le passes en mode normal et essais de le passer en mode sans echec , et tu me referas un hijackthis car j'ai oublié de te faire déactiver spybot pour fixer les lignes et quand tu l'as fait il a du te demander une autorisation pour modifier le registre et tu as du la refuser donc la ligne O20 - Winlogon Notify: ldr64 - C:\WINDOWS\ doit toujours être la et c'est surement elle qui nous en mer..

scroutix · Answer

Non j'accepte tjs ce que me dit spybot. La ligne O20...ldr64... avait donc bien disparue.
Je finis "elibagla" et je reviens avec les logs

scroutix · Answer

Non je fais toujours confiance a spybot et la ligne O20 ...ldr64 avait bien disparue.
Mais qu'est-ce qui fait la différence entre mode sans échec et windows normal ?

Pour les logs : Eliblaga en "Mode sans echec avec prise en charge reseau", puis "normal", puis "mode sans echec" :


	  Fri Jan 16 21:25:12 2009
EliBagle v12.11b  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Fri Jan 16 21:26:22 2009
EliBagle v12.11b  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Fri Jan 16 21:26:34 2009
EliBagle v12.11b  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   2589
Nº Total de Ficheros:      19662
Nº de Ficheros Analizados: 6699
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Jan 16 21:35:05 2009
EliBagle v12.11b  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Fri Jan 16 21:35:10 2009
EliBagle v12.11b  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   2606
Nº Total de Ficheros:      20777
Nº de Ficheros Analizados: 6769
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Jan 16 22:11:09 2009
EliBagle v12.11b  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Fri Jan 16 22:11:15 2009
EliBagle v12.11b  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   2607
Nº Total de Ficheros:      20726
Nº de Ficheros Analizados: 6771
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Nv Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:41, on 16/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\iolo\common\lib\ioloServiceManager.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

jacques.gache · Answer

bonjour ok elle est bien parti , as tu toujours le problème , essais de réinitialiser IE comme expliqué j'espère que cela marchera car la je ne vois pas ce qui peut te bloquer ou à moins que cela soit du au fait que tu utilise un windows cracké

scroutix · Answer

J'utilise Firefox pour surfer. mais en réinitialisant IE j'ai toujours le même soucis.
Bon ben je suis un peu desespéré là, je ne me vois pas redémarrer en mode sans échec à chaque fois que je dois surfer sur certains sites ou mettre a jour mon antivirus :(

Merci en tout cas pour le temps que tu m'auras consacré.

jacques.gache · Answer

as tu été voir dans ton pare-feu et dans spybot si c'est pas eux qui te bloquerais ,  une solution les désinstaller passer ccleaner pour nettoyer le registre et regarder si ça marche et si oui tu les réinstalles et tu fais attention à ce que tu refuse
j'ai oublié de répondre à ta question :Mais qu'est-ce qui fait la différence entre mode sans échec et windows normal ?  
une petite expliquation et ICI aussi

scroutix · Answer

Pour conclure, je viens de réinstaller une image ghost et mis à jour aussitôt l'antivirus.
Apparemment plus de soucis. Je ne saurai pas d'où venait ce fichu virus mais en tout cas il ne semble plus êztre là.

Merci encore jacques gache pour le temps passé et tes conseils qui me serviront j'en suis sûr maintenant que je suis devenu un pro du hijackthis et du ccleaner ;)

Franck · Answer

Bonjour,

 Moi aussi j'ai le même virus. Je pourrais même dire plus, cela fait 4 formatages en 2 mois, et le virus revient après quelques jours. Quelqu'un a trouvé de quel virus il s'agit, et ma question principale, quelqu'un à trouver une solution autre que le formatage???

inconnu · Answer

quelqu'un à trouver une solution autre que le formatage???

salut,copie ton dique dur avec clone cd avant toute connexion,pour eviter l'infection,ensuite tu peux restaurer l'image de ton disque en cas de probleme,ca évite les prises de tete.

Virus bloquant microsoft.com, avg.com, etc .. - Page 2

Discussions similaires

Newsletters