Probleme redirection de page + Cid Résolu

Question

Salut, j'en ai marre , je galere a chercher des solutions pour mon probleme depuis maintenant une semaine . Au début c'était simplement de petit pop up Cid qui s'affichaient mais ne trouvant pas de solutions je les ai ignorer , mais maintenant je ne peux plus , 8 clics sur 10 lorsque je clique un lien sur google je suis redigéré vers plusieurs sites meme porno -_- , sa commence a me gonfler la .
Vous pouvez m'aider  svp ?

plopus · Answer

Bonsoir,

pour les pop up Cid 

tu vas désactiver l'uac : https://forum.malekal.com/viewtopic.php?f=59&t=6517 

telecharge LOP

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

lance en administrateur en clic droit et fait option 1 et poste le rapport

sKe69 · Answer

Salut,


on va voir de quoi il s'agit exactement .... Commence par faire ceci stp :


1- protocole à suivre pour  Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
 
Aller dans "démarrer" puis "panneau de configuration" : 
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs" 
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC ! 

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517 


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ce-ci systématiquement ! ...


une fois ceci fait et pris en compte , commence par ce qui suit :



2- Télécharge et installe le logiciel HijackThis : 

ici HijackThis 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . 

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

Necromanosik · Answer

OK voila j'ai fait les deux rapport :

*Avec Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:50, on 25/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32undll32.exe
C:\Program Files\Genesys PC Camera Device\GenePccMon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32undll32.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\conime.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GenePccMon.exe] C:\Program Files\Genesys PC Camera Device\GenePccMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [bait face type axis] "C:\ProgramData\The Vc Readme.pxa378b"
O4 - HKCU\..\Run: [Drv Acid] "C:\ProgramData\Holeelseelse.qmav9"
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio.exe (file missing)

plopus · Answer

Deconnecte toi d'internet, ferme toutes tes application et relance LOP en option 2 et poste le rapport


et après reposte un hijackthis stp

Necromanosik · Answer

Voila j'ai refais Lop , je fais le rapport Hijackthis mnt?

Necromanosik · Answer

j'ai oublier de le poster lol :

   --------------------\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz )
   BIOS : Ver 1.00PARTTBL
   USER : Necromanosik ( Administrator )
   BOOT : Normal boot
   Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
   C:\ (Local Disk) - NTFS - Total:213 Go (Free:40 Go)
   D:\ (Local Disk) - FAT32 - Total:19 Go (Free:14 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   G:\ (CD or DVD) - UDF - Total:7 Go (Free:0 Go)
   H:\ (CD or DVD)
   I:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [2] ( 25/01/2009|20:00 )

   [ UAC => 1 ]


   \\\\\\\\\\\\\\\ SUPPRESSION

   Supprime! - C:\ProgramData\Meow Intra Bait Face\Comp Gpl.dat
   Supprime! - C:\Users\NECROM~1\AppData\Roaming\MICROS~1\Windows\Cookies
ecromanosik@advertising[1].txt
   Supprime! - C:\ProgramData\Holeelseelse.83hqf
   Supprime! - C:\ProgramData\Holeelseelse.d3dhe
   Supprime! - C:\ProgramData\Holeelseelse.fzkrf
   Supprime! - C:\ProgramData\Holeelseelse.gip83
   Supprime! - C:\ProgramData\Holeelseelse.kts8u
   Supprime! - C:\ProgramData\Holeelseelse.qmav9
   Supprime! - C:\ProgramData\Holeelseelse.vaq17
   Supprime! - C:\ProgramData\BLAH SOAP HTM.gyb5jn
   Supprime! - C:\ProgramData\Holeelseelse.2xazqi
   Supprime! - C:\ProgramData\Holeelseelse.6bhgdu
   Supprime! - C:\ProgramData\Holeelseelse.ffze85
   Supprime! - C:\ProgramData\Holeelseelse.pr5bm5
   Supprime! - C:\ProgramData\Holeelseelse.ea71ado
   Supprime! - C:\ProgramData\Holeelseelse.pvowrak
   Supprime! - C:\ProgramData\Holeelseelse.uetmlo9
   Supprime! - C:\ProgramData\Holeelseelse.w59bpvs
   Supprime! - C:\ProgramData\The Vc Readme.pxa378b
   Supprime! - C:\ProgramData\Meow Intra Bait Face
   -
   [ Fichier Hosts ] .. Restaure!
 
   \\\\\\\\\\\\\\\ 

 
   --------------------\  Listing des dossiers dans Local

   [17/11/2008|19:39] C:\Users\NECROM~1\AppData\Local\.mpid
   [22/01/2009|23:33] C:\Users\NECROM~1\AppData\Local\Adobe
   [01/11/2008|23:10] C:\Users\NECROM~1\AppData\Local\Ahead
   [30/10/2008|18:32] C:\Users\NECROM~1\AppData\Local\Application Data 
   [13/12/2008|13:08] C:\Users\NECROM~1\AppData\Local\d3d9caps.dat
   [03/01/2009|00:43] C:\Users\NECROM~1\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
   [24/01/2009|11:47] C:\Users\NECROM~1\AppData\Local\Downloaded Installations
   [12/01/2009|21:16] C:\Users\NECROM~1\AppData\Local\GDIPFONTCACHEV1.DAT
   [30/10/2008|18:32] C:\Users\NECROM~1\AppData\Local\Historique 
   [25/01/2009|19:44] C:\Users\NECROM~1\AppData\Local\IconCache.db
   [08/01/2009|22:55] C:\Users\NECROM~1\AppData\Local\Microsoft
   [20/12/2008|13:54] C:\Users\NECROM~1\AppData\Local\Microsoft Help
   [30/10/2008|18:43] C:\Users\NECROM~1\AppData\Local\Mozilla
   [25/01/2009|20:00] C:\Users\NECROM~1\AppData\Local\Temp
   [30/10/2008|18:32] C:\Users\NECROM~1\AppData\Local\Temporary Internet Files 
   [15/12/2008|19:04] C:\Users\NECROM~1\AppData\Local\Ubisoft
   [25/01/2009|16:42] C:\Users\NECROM~1\AppData\Local\VirtualStore
 
   --------------------\  Tâches planifiées dans C:\Windows	asks

   [25/01/2009 01:21][--ah-----] C:\Windows	asks\User_Feed_Synchronization-{97635FA4-3D5F-4108-9790-E19E3B6873D5}.job
   [25/01/2009 19:45][--ah-----] C:\Windows	asks\SA.DAT
   [25/01/2009 19:44][--a------] C:\Windows	asks\SCHEDLGU.TXT

   --------------------\  Listing des dossiers dans C:\ProgramData
   
   [22/01/2009|23:33] C:\ProgramData\Adobe
   [02/11/2006|14:02] C:\ProgramData\Application Data 
   [09/11/2008|16:03] C:\ProgramData\Avira
   [10/11/2008|13:05] C:\ProgramData\BullGuard
   [30/10/2008|18:31] C:\ProgramData\Bureau 
   [02/11/2006|14:02] C:\ProgramData\Desktop 
   [02/11/2006|14:02] C:\ProgramData\Documents 
   [25/01/2009|19:46] C:\ProgramData\Electronic Arts
   [30/10/2008|18:31] C:\ProgramData\Favoris 
   [02/11/2006|14:02] C:\ProgramData\Favorites 
   [25/01/2009|12:18] C:\ProgramData\Google Updater
   [15/12/2008|18:41] C:\ProgramData\InstallShield
   [30/10/2008|18:31] C:\ProgramData\Menu D‚marrer 
   [01/01/2009|18:31] C:\ProgramData\Messenger Plus!
   [20/12/2008|13:54] C:\ProgramData\Microsoft
   [21/12/2008|20:57] C:\ProgramData\Microsoft Help
   [30/10/2008|18:31] C:\ProgramData\ModŠles 
   [27/12/2008|22:43] C:\ProgramData\NCH Swift Sound
   [17/08/2007|07:16] C:\ProgramData\Nero
   [25/01/2009|18:33] C:\ProgramData\ProgramPile
   [02/11/2006|14:02] C:\ProgramData\Start Menu 
   [25/01/2009|19:46] C:\ProgramData\TEMP
   [02/11/2006|14:02] C:\ProgramData\Templates 
   [15/12/2008|19:32] C:\ProgramData\Ubisoft
   [26/11/2008|19:44] C:\ProgramData\WINDOW VIEW 01.5kmmbxv
   [30/10/2008|19:08] C:\ProgramData\WLInstaller

   --------------------\  Listing des dossiers dans C:\Program Files

   [22/01/2009|23:31] C:\Program Files\Adobe
   [18/01/2009|14:26] C:\Program Files\Audacity
   [09/11/2008|16:03] C:\Program Files\Avira
   [22/12/2008|22:56] C:\Program Files\BitComet
   [20/12/2008|15:50] C:\Program Files\Common Files
   [16/08/2007|10:56] C:\Program Files\CONEXANT
   [20/12/2008|00:30] C:\Program Files\Counter-Strike 1.6
   [17/08/2007|07:23] C:\Program Files\CyberLink
   [30/11/2008|15:45] C:\Program Files\DAEMON Tools Lite
   [19/12/2008|23:14] C:\Program Files\DAEMON Tools Toolbar
   [29/12/2008|01:11] C:\Program Files\Doom 3
   [24/01/2009|11:48] C:\Program Files\Electronic Arts
   [30/10/2008|18:31] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]
   [16/08/2007|11:03] C:\Program Files\Genesys PC Camera Device
   [21/01/2009|22:46] C:\Program Files\Google
   [18/01/2009|20:00] C:\Program Files\Guitar Pro 5
   [07/12/2008|22:33] C:\Program Files\HI-TECH Software
   [17/08/2007|07:23] C:\Program Files\Home Cinema
   [27/12/2008|22:57] C:\Program Files\ImgBurn
   [24/01/2009|11:48] C:\Program Files\InstallShield Installation Information
   [16/08/2007|09:18] C:\Program Files\Intel
   [11/12/2008|03:10] C:\Program Files\Internet Explorer
   [19/12/2008|23:09] C:\Program Files\Java
   [01/01/2009|18:59] C:\Program Files\JRE
   [29/12/2008|23:41] C:\Program Files\K-Lite Codec Pack
   [18/12/2008|19:13] C:\Program Files\Left 4 Dead
   [06/11/2008|00:44] C:\Program Files\LimeWire
   [26/11/2008|14:57] C:\Program Files\MagicDisc
   [17/08/2007|07:25] C:\Program Files\Medion
   [29/12/2008|12:52] C:\Program Files\Messenger Plus! Live
   [20/12/2008|00:21] C:\Program Files\Microchip
   [21/12/2008|03:04] C:\Program Files\Microsoft CAPICOM 2.1.0.2
   [02/11/2006|13:37] C:\Program Files\Microsoft Games
   [03/11/2008|11:55] C:\Program Files\Microsoft Office
   [20/12/2008|15:51] C:\Program Files\Microsoft Visual Studio 8
   [20/12/2008|15:50] C:\Program Files\Microsoft.NET
   [02/11/2006|13:42] C:\Program Files\Movie Maker
   [25/01/2009|19:46] C:\Program Files\Mozilla Firefox
   [02/11/2006|13:37] C:\Program Files\MSBuild
   [02/11/2006|13:37] C:\Program Files\MSN
   [16/08/2007|09:29] C:\Program Files\MSXML 4.0
   [27/12/2008|22:42] C:\Program Files\NCH Swift Sound
   [17/08/2007|07:16] C:\Program Files\Nero
   [01/01/2009|18:59] C:\Program Files\OpenOffice.org 3
   [03/11/2008|00:47] C:\Program Files\PowerISO
   [24/11/2008|20:12] C:\Program Files\Real
   [02/11/2006|13:37] C:\Program Files\Reference Assemblies
   [09/01/2009|17:12] C:\Program Files\Savage 2 - A Tortured Soul
   [23/01/2009|01:04] C:\Program Files\Spyware Doctor
   [25/01/2009|19:46] C:\Program Files\Steam
   [20/12/2008|00:58] C:\Program Files\SystemRequirementsLab
   [19/12/2008|22:05] C:\Program Files\Teamspeak2_RC2
   [29/11/2008|16:45] C:\Program Files\THQ
   [24/11/2008|21:25] C:\Program Files\TI Education
   [25/01/2009|19:48] C:\Program Files\Trend Micro
   [15/12/2008|19:11] C:\Program Files\Ubisoft
   [02/11/2006|14:01] C:\Program Files\Uninstall Information
   [23/01/2009|19:37] C:\Program Files\vghd
   [03/11/2008|11:52] C:\Program Files\VideoLAN
   [18/01/2009|19:26] C:\Program Files\videoplay
   [01/12/2008|19:06] C:\Program Files\Warcraft III
   [16/08/2007|10:43] C:\Program Files\Windows Calendar
   [02/11/2006|13:42] C:\Program Files\Windows Collaboration
   [16/08/2007|10:43] C:\Program Files\Windows Defender
   [02/11/2006|13:42] C:\Program Files\Windows Journal
   [30/10/2008|19:14] C:\Program Files\Windows Live
   [15/01/2009|18:50] C:\Program Files\Windows Mail
   [30/10/2008|23:01] C:\Program Files\Windows Media Player
   [30/10/2008|18:31] C:\Program Files\Windows NT
   [02/11/2006|13:42] C:\Program Files\Windows Photo Gallery
   [30/10/2008|23:01] C:\Program Files\Windows Sidebar
   [30/10/2008|18:52] C:\Program Files\WinRAR

   --------------------\  Listing des dossiers dans C:\Program Files\Common Files

   [22/01/2009|23:31] C:\Program Files\Common Files\Adobe
   [17/08/2007|07:21] C:\Program Files\Common Files\Ahead
   [20/12/2008|15:50] C:\Program Files\Common Files\Designer
   [15/12/2008|18:30] C:\Program Files\Common Files\InstallShield
   [17/08/2007|07:10] C:\Program Files\Common Files\Java
   [17/08/2007|07:21] C:\Program Files\Common Files\LightScribe
   [21/12/2008|03:02] C:\Program Files\Common Files\Merge Modules
   [20/12/2008|15:52] C:\Program Files\Common Files\microsoft shared
   [24/11/2008|20:12] C:\Program Files\Common Files\Real
   [02/11/2006|12:18] C:\Program Files\Common Files\Services
   [02/11/2006|12:18] C:\Program Files\Common Files\SpeechEngines
   [18/01/2009|13:28] C:\Program Files\Common Files\Steam
   [16/08/2007|10:43] C:\Program Files\Common Files\System
   [24/11/2008|21:25] C:\Program Files\Common Files\TI Shared
   [12/12/2008|21:02] C:\Program Files\Common Files\Vbox
   [30/10/2008|19:13] C:\Program Files\Common Files\WindowsLiveInstaller
   [24/11/2008|21:24] C:\Program Files\Common Files\Wise Installation Wizard
   [24/11/2008|20:12] C:\Program Files\Common Files\xing shared

   --------------------\  Process

   ( 65 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-01-25 20:01:25
   Windows 6.0.6000  NTFS
   detected NTDLL code modification:
   ZwClose
   scanning hidden processes ...
   scanning hidden files ...
   disk error: C:\Windows\System32\
   please note that you need administrator rights to perform deep scan
 
   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\NECROM~1\AppData\Roaming\Microsoft\Windows\Recent\DOOM 3 KEYGEN.lnk
   C:\Users\NECROM~1\Desktop\Doom\DOOM 3 KEYGEN
   C:\Users\NECROM~1\Desktop\Doom\DOOM 3 KEYGEN\Readme.txt
   C:\Users\NECROM~1\Desktop\Doom\DOOM 3 KEYGEN\RLD-D3KG.EXE


   [F:10][D:7]-> C:\Users\NECROM~1\AppData\Local\Temp
   [F:239][D:1]-> C:\Users\NECROM~1\AppData\Roaming\MICROS~1\Windows\Cookies
   [F:719][D:13]-> C:\Users\NECROM~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
   [F:473][D:15]-> C:\$Recycle.Bin

   1 - "C:\Lop SD\LopR_1.txt" - 25/01/2009|19:53 - Option : [1]
   2 - "C:\Lop SD\LopR_2.txt" - 25/01/2009|20:02 - Option : [2]

   --------------------\  Fin du rapport a 20:02:21
   [ UAC => 1 ]

plopus · Answer

e

poste un hijackthis

et fait analyser sa C:\Users\NECROM~1\Desktop\Doom\DOOM 3 KEYGEN\RLD-D3KG.EXE 

ici https://www.virustotal.com/gui/ clic sur parcourir et va le chercher si il est trop gros et que tu ne t'en sert + supprime le par securité
de meme que les autres...

Necromanosik · Answer

Bon j'ai viré le fichier et le dossier ou il était  et voici le rapport hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:13, on 25/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32undll32.exe
C:\Program Files\Genesys PC Camera Device\GenePccMon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32undll32.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GenePccMon.exe] C:\Program Files\Genesys PC Camera Device\GenePccMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio.exe (file missing)

plopus · Answer

Sa semble mieux deja

relance hijackthis choisit "do a scan only et coches les cases a gauche des lignes :

 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"     
 O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe     
 O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"     
 O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\Home Cinema\PowerDVD\Language\Language.exe"     
 O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE     
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot     
 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"     
 O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background     
 O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')     
 O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe     


puis clic sur fix checked


ensuite pour controler configure antivir comme ceci :
double clic sur le parapluie rouge dans la barre des tache en bas a droite :
- a l'ecran d'accueil clic sur F8
- ensuite coche en haut a gauche "expert mode"
- ensuite selectionne dessous SCANNER
- ensuite dans le cadre de droite tu coche "tous les fichiers" et " Rech.rootkit au dem. de la recherche" puis met ok 
- fait une mise a jour et lance un scan supprime tous ce qu'il trouve et poste le rapport



ensuite telecharge et installe malwarebyte, met le a jour

http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

et fait un scan rapide à la fin clic sur afficher resultat et clic sur suppression puis poste le rapport qui s'ouvre

Necromanosik · Answer

Euh ta vraiment besoin du scan de antivir parce que je viens d'en faire de 2h15 juste avant de poster et j'ai supprimer 7 infections pas besoin de le refaire non?

P.S: je suis en train de faire l'autre rapport!

plopus · Answer

ok si tu en à fait 1 avant et que tu as tout supprimé fait deja malwarebyte en scan rapide mis a jour si tu peux sinon tanpis mais fait le en mode sans echec

Necromanosik · Answer

Ok j'ai mis a jour malware puis j'ai analyser voici le rapport et merci de maider!

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1693
Windows 6.0.6000 

25/01/2009 20:39:18
mbam-log-2009-01-25 (20-39-03).txt

Type de recherche: Examen rapide
Eléments examinés: 45541
Temps écoulé: 5 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\videoplay (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\videoplay (Trojan.DNSChanger) -> No action taken.
HKEY_CLASSES_ROOT\videoplay (Trojan.DNSChanger) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\resycled (Trojan.DNSChanger) -> No action taken.
C:\Program Files\videoplay (Trojan.DNSChanger) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\videoplay (Trojan.DNSChanger) -> No action taken.
C:\Users\Necromanosik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\videoplay (Trojan.DNSChanger) -> No action taken.

Fichier(s) infecté(s):
C:\Program Files\videoplay\Uninstall.exe (Trojan.DNSChanger) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\videoplay\Uninstall.lnk (Trojan.DNSChanger) -> No action taken.
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.

plopus · Answer

ok parcontre as tu bien supprimer les virus car "no action taken" donc si c'est pas le cas relance et à la fin clic bien sur AFFICHER resultat et clic sur SUPPRESSION


après

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Clique sur Continue
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
 Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront poste les 2 rapports SEPAREMENT

Necromanosik · Answer

Oui je n'avais pas supprimer les fichiers n'étant pas sur mais c'est fait  , je continue et je poste des que c'est fini

plopus · Answer

poste le rapport malwarebyte quand meme celui ou tu as supprimé et poste le rapport RSIT demandé

Necromanosik · Answer

Bon ils sont fini je les met en trois post 
Ici celui de malware: 
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1693
Windows 6.0.6000 

25/01/2009 20:44:51
mbam-log-2009-01-25 (20-44-51).txt

Type de recherche: Examen rapide
Eléments examinés: 45541
Temps écoulé: 5 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\videoplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\videoplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\videoplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Program Files\videoplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\videoplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Users\Necromanosik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\videoplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\videoplay\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\videoplay\Uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

Necromanosik · Answer

Ici le info de RSIT:
info.txt logfile of random's system information tool 1.05 2009-01-25 20:52:47

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\Nero\Nero 7
ero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Adobe Shockwave Player-->C:\Windows\System32\Adobe\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Adobe\SHOCKW~1\Install.log
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BitComet 1.05-->C:\Program Files\BitComet\uninst.exe
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Doom 3-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{EEFB15EB-FE8B-47DF-A496-1C4D1420294A} 
EA Download Manager-->C:\Program Files\Electronic Arts\EADM\Uninstall.exe
Express Burn-->C:\Program Files\NCH Swift Sound\ExpressBurn\uninst.exe
Genesys PC Camera Device-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3FB39BED-37C8-4E60-8E02-315B8C2B07E3}\setup.exe" -l0x40c  -removeonly
Guitar Pro 5.2-->"C:\Program Files\Guitar Pro 5\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
ImgBurn-->"C:\Program Files\ImgBurn\uninstall.exe"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
K-Lite Codec Pack 4.4.2 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
LimeWire 4.18.8-->"C:\Program Files\LimeWire\uninstall.exe"
MagicDisc 2.7.105-->C:\PROGRA~1\MAGICD~1\UNWISE.EXE C:\PROGRA~1\MAGICD~1\INSTALL.LOG
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft Office Excel Viewer 2003-->MsiExec.exe /I{9084040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Express - FRA Service Pack 1 (KB926748)-->C:\Windows\system32\msiexec.exe /promptrestart /uninstall {9BB5DD65-D02F-43FC-94AF-E8932A4EFB73} /package {D9FC1645-9D32-4F08-84FA-CB9DDDF02EC8}
Microsoft Visual C++ 2005 Express - FRA-->C:\Program Files\Microsoft Visual Studio 8\Microsoft Visual C++ 2005 Express Edition - FRA\setup.exe
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Mozilla Firefox (3.0.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MP3 WAV Converter 3.52-->C:\PROGRA~1\MP3WAV~1\UNWISE.EXE C:\PROGRA~1\MP3WAV~1\INSTALL.LOG
MSXML 4.0 SP2 (KB925672)-->MsiExec.exe /I{A9CF9052-F4A0-475D-A00F-A8388C62DD63}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 7 Essentials-->MsiExec.exe /X{4366F05B-950A-4698-863C-93B8C7671036}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{6860B340-530D-46B3-91F8-1AE1F70F7C33}
Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe"  -uninstall
PowerISO-->"C:\Program Files\PowerISO\uninstall.exe"
PowerProducer-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe"  -uninstall
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
Realtek USB 2.0 Card Reader-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DC24971E-1946-445D-8A82-CE685433FA7D}\setup.exe" -l0x9  -removeonly
Runtimes 1.0.0-->C:\Windows\unins000.exe
S.T.A.L.K.E.R. - Shadow of Chernobyl-->"C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\unins000.exe"
Savage 2 - A Tortured Soul-->C:\Program Files\Savage 2 - A Tortured Soul\uninstall.exe
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
ShaunWhiteSnowboarding-->"C:\Program Files\InstallShield Installation Information\{2E52FB79-7F60-4AD7-B946-5ED18B4F274E}\setup.exe" -runfromtemp -l0x040c -removeonly
SPORE™-->"C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -runfromtemp -l0x040c -removeonly
Spyware Doctor 6.0-->C:\Program Files\Spyware Doctor\unins000.exe /LOG
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
TeamSpeak 2 Server RC2-->"C:\Program Files\Teamspeak2_RC2\unins001.exe"
TI Connect 1.6-->MsiExec.exe /I{A8B94669-8654-4126-BD28-D0D2412CDED6}
Update pour Microsoft Visual C++ 2005 Express - FRA (KB932233)-->C:\Windows\system32\msiexec.exe /promptrestart /uninstall {DC43742B-E3C0-41DC-A476-E8B8722E8871} /package {D9FC1645-9D32-4F08-84FA-CB9DDDF02EC8}
VLC media player 0.9.4-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Warcraft III-->C:\Windows\War3Unin.exe C:\Windows\War3Unin.dat
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}

=====HijackThis Backups=====

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"

======Security center information======

AV: Avira AntiVir PersonalEdition
AS: Spyware Doctor
AS: Windows Defender

System event log

Computer Name: necro
Event Code: 10029
Message: DCOM a démarré le service TrustedInstaller avec les arguments «  » de façon à exécuter le serveur :
{752073A1-23F2-4396-85F0-8FDB879ED0ED}
Record Number: 54069
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20090125195111.000000-000
Event Type: Information
User: 

Computer Name: necro
Event Code: 7036
Message: Le service Programme d’installation de modules Windows est entré dans l'état : en cours d'exécution.
Record Number: 54070
Source Name: Service Control Manager
Time Written: 20090125195112.000000-000
Event Type: Information
User: 

Computer Name: necro
Event Code: 4
Message: Le spouleur d’impression n’a pas pu rouvrir une connexion d’imprimante existante car il n’a pas pu lire les informations de configuration dans la clé de Registre S-1-5-18\Printers\Connections. Le spouleur d’impression n’a pas pu ouvrir la clé de Registre. Ceci peut se produire si la clé de Registre est endommagée ou absente, ou si le Registre est momentanément indisponible.
Record Number: 54071
Source Name: Microsoft-Windows-SpoolerWin32SPL
Time Written: 20090125195136.000000-000
Event Type: Avertissement
User: 

Computer Name: necro
Event Code: 4
Message: Le spouleur d’impression n’a pas pu rouvrir une connexion d’imprimante existante car il n’a pas pu lire les informations de configuration dans la clé de Registre S-1-5-18\Printers\Connections. Le spouleur d’impression n’a pas pu ouvrir la clé de Registre. Ceci peut se produire si la clé de Registre est endommagée ou absente, ou si le Registre est momentanément indisponible.
Record Number: 54072
Source Name: Microsoft-Windows-SpoolerWin32SPL
Time Written: 20090125195136.000000-000
Event Type: Avertissement
User: 

Computer Name: necro
Event Code: 18
Message: Prêt pour l'installation : les mises à jour suivantes ont été téléchargées et sont prêtes pour l'installation. L'installation de ces mises à jour est actuellement planifiée pour le ?lundi ?26 ?janvier ?2009 à 03:00 : 
- Mise à jour de sécurité pour Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)
Record Number: 54073
Source Name: Microsoft-Windows-WindowsUpdateClient
Time Written: 20090125195154.160995-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Application event log

Computer Name: necro
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 8056
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090125194807.450995-000
Event Type: Information
User: necro\Necromanosik

Computer Name: necro
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 8057
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090125194809.020995-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: necro
Event Code: 0
Message: 
Record Number: 8058
Source Name: NMIndexingService
Time Written: 20090125194834.000000-000
Event Type: Information
User: 

Computer Name: necro
Event Code: 1
Message: Le service Centre de sécurité Windows a démarré.
Record Number: 8059
Source Name: SecurityCenter
Time Written: 20090125195008.000000-000
Event Type: Information
User: 

Computer Name: necro
Event Code: 5
Message: Unsupported service control request (see data below)
Record Number: 8060
Source Name: LightScribeService
Time Written: 20090125195246.000000-000
Event Type: Information
User: 

Security event log

Computer Name: necro
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 9300
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125194746.230995-000
Event Type: Succès de l'audit
User: 

Computer Name: necro
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\Windows\System32\drivers\mchInjDrv.sys	
Record Number: 9301
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125194749.820995-000
Event Type: Échec de l'audit
User: 

Computer Name: necro
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		NECRO$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x25c
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Adresse du réseau :	-
	Port :			-

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 9302
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125195111.274995-000
Event Type: Succès de l'audit
User: 

Computer Name: necro
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		NECRO$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			5

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x25c
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		Advapi  
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 9303
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125195111.274995-000
Event Type: Succès de l'audit
User: 

Computer Name: necro
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 9304
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125195111.274995-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"VS80COMNTOOLS"=C:\Program Files\Microsoft Visual Studio 8\Common7\Tools\

-----------------EOF-----------------

Necromanosik · Answer

Et pour finir log :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Necromanosik at 2009-01-25 20:52:37
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 41 GB (19%) free of 218 GB
Total RAM: 3070 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:43, on 25/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32undll32.exe
C:\Program Files\Genesys PC Camera Device\GenePccMon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32undll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Necromanosik\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Necromanosik.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GenePccMon.exe] C:\Program Files\Genesys PC Camera Device\GenePccMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio.exe (file missing)

plopus · Answer

re

ok sa à l'air bon, as tu encore des problemes ?

telecharge GENPROC Ouvre ce lien d'aide < < http://www.alt-shift-return.org/Info/GenProc-HowTo.html >

, et le téléchargement est dedans < http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip >. repond oui à la question à la fin et poste le rapport stp

Necromanosik · Answer

bah pour l'instant je n'ai plus de pop up ni de cid etc... donc ça ma lair bon .
Ton logiciel me dit qu'il manque des fichiers?

plopus · Answer

clic sur le lien 1 tu dois desactive l'uac etc.. lit bien et réessaye de le telecharge en desactivant ton antivirus

Necromanosik · Answer

Ouep sa a lair bon , mais ton logiciel me dit qu'il me manque des fichiers ?

plopus · Answer

tu as bien dezippé l'archive...si tu peux continue le scan, execute en admin...lit le lien d'aide

Necromanosik · Answer

ok je vais faire ce qu'il dise mais  on a pas désactiver l uac  au début non?

plopus · Answer

si tu l'as pas réactive si
normalement tu dois avoir une alerte avec un bouclier rouge en bas...bref fait exactement ce que dit le lien premier lien que jté donné d'aide

Necromanosik · Answer

c'est bon j'ai reutiliser la methode que on ma donné dans le troisieme post , sauf que au 20 sec apres la recherche j'ai des erreurs puis le log se ferme

plopus · Answer

Bon laisse tomber, c'etait juste pour une verif comme sa.

je ne vois pas d'infections donc si tous va bien pour ton PC :

mise a jour de tes logiciel :
via windows update
via ce site https://www.flexera.com/products/operations/software-vulnerability-management.html (clic start scan accepte l'active X)

tu peut passer Toolscleaner pour nettoyer les outils que tu as telecharge
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
clik sur recherche laisse le scanner ton pc et parès clik sur suppression et poste le rapport

puis purge ta restauration avec sa http://www.commentcamarche.net/faq/sujet 5097 virus system volume information
puis creer un point de restauration sain avec sa http://www.commentcamarche.net/faq/sujet 740 windows points de restauration

et met ton sujet en resolu

plopus · Answer

re

en fait desactive L'uac https://forum.malekal.com/viewtopic.php?f=59&t=6517 

ensuite clic droit et executer en administrateur toolscleaner lance la recherche ensuite ne touche + au PC laisse travailler le temps qu'il faut et ensuite clic de suite sur suppression et copie colle le rapport et fait le reste

Necromanosik · Answer

tool ne veux vraiment pas repondre au bout de 15 mn juste Recherche , j'ai tout supprimmer manuellement ,fais les mises a  jour , purger la restauration et j'en ai fais un nouveau.

Necromanosik · Answer

j'ai rien dit :
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\lopR.txt: trouvé !
C:\Lop SD: trouvé !
C:\Rsit: trouvé !
C:\$RECYCLE.BIN\S-1-5-21-2423902357-2640232953-354532009-1000\$RA9KI0C\GenProc[*].html: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Necromanosik\Desktop\HijackThis.lnk: trouvé !
C:\Users\Necromanosik\Desktop\LopSD.exe: trouvé !
C:\Users\Necromanosik\Desktop\GenProc.zip: trouvé !
C:\Users\Necromanosik\Desktop\lopR.txt: trouvé !
C:\Users\Necromanosik\Desktop\Rsit.exe: trouvé !
C:\Users\Necromanosik\Desktop\GenProc: trouvé !
C:\Users\Necromanosik\Desktop\GenProc\GenProc: trouvé !
C:\Users\Necromanosik\Desktop\GenProc\GenProc\Page\GenProc[*].html: trouvé !
C:\Windows\System32\SmitFraudfix: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Necromanosik\Desktop\HijackThis.lnk: supprimé !
C:\Users\Necromanosik\Desktop\LopSD.exe: supprimé !
C:\Users\Necromanosik\Desktop\GenProc.zip: supprimé !
C:\lopR.txt: supprimé !
C:\$RECYCLE.BIN\S-1-5-21-2423902357-2640232953-354532009-1000\$RA9KI0C\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Necromanosik\Desktop\lopR.txt: supprimé !
C:\Users\Necromanosik\Desktop\Rsit.exe: supprimé !
C:\Users\Necromanosik\Desktop\GenProc\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Lop SD: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\Necromanosik\Desktop\GenProc: ERREUR DE SUPPRESSION !!
C:\Windows\System32\SmitFraudfix: supprimé !

Necromanosik · Answer

merde par contre je peux plus enlever le rapport lopR , le log RSIT ,et le dos Gen Proc du bureau 
il me dise que il n'existe plus !!!!

plopus · Answer

ok supprime les quelques fichier ou dossier ou il y a marqué ERREUR DE SUPPRESSION
puis vide ta corbeille

si tu l'as pas 

telecharge CCleaner ici (logiciel a garder)
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
ouvre CCleaner va dans option/avanvé et decoche la premier ligne 
et nettoie ton registre et tes fichier temporaire au moins 2fois jusqu'a trouver 0erreur


puis purge ta restauration et suit le poste 27

plopus · Answer

Fait tout ce qui est dit ensuite redemarre ton PC

Necromanosik · Answer

ok merci encore

plopus · Answer

de rien  

si les problemes reviennent reposte sur ton sujet ici

Probleme redirection de page + Cid

35 réponses

Votre réponse

Discussions similaires

Newsletters