Infecté par wmsncs.exe

michelange281 -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
à chaque démarrage, il y a le message d'erreur suivant :
windows ne trpouve pas windows/fonts/wmsncs.exe

j'ai lu sur plusieur forum que se n'etait pas un simple petit virus c'est pourquoi je reclame une petite aide qui puisse m'aider a virer cette merde !!

je vous en remercie !

ps: pour commencer quelque par je doit prevenir que combot fix n'arrive pas a se demarer il charge et ne s'ouvre pas...
Configuration: Windows XP
Internet Explorer 6.0

48 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème porte sur un message d'erreur au démarrage indiquant que Windows ne trouve pas le fichier fonts/wmsncs.exe, signalant une infection par un logiciel malveillant et nécessitant une aide pour nettoyer le système. Plusieurs pistes de solution sont abordées, notamment la réparation des fichiers système via SFC /SCANNOW et une éventuelle réparation de Windows XP avec le CD d'origine. D'autres conseils préconisent des outils anti-malware comme MalwareBytes pour un examen complet et la suppression des éléments identifiés, avec éventuellement l'usage de ComboFix et HijackThis pour cibler les entrées malicieuses. En complément, les rapports de détection évoquent des entrées de registre et des services malveillants détectés et quarantinés, puis la nécessité de nettoyer les restaurations système et de revoir les protections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    Avant de lancer des outils de désinfection,

    Télécharge et installe HijackThis .
    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    Choisir « Download Hijackthis Installer »
    Après l'installation, un raccourci sera crée sur le bureau. Double-clique dessus pour le lancer ( si sous Vista --> Click droit et executer en tant qu’administrateur )

    Choisir l'option Do a system scan and save a logfile.
    Le rapport va s'ouvrir. Tu copies/colles le contenu de ce rapport dans ton prochain message

    A+
    0
  2. michelange281
     
    re er merci pour ta réponse !!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:24:15, on 25/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\SoftwareDistribution\Download\Install\IE7-WindowsXP-x86-fra.exe
    c:\55d6b51ad41c14c3666e08f2d042\update\iesetup.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
    O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
    O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
    O4 - HKLM\..\Run: [nl2plwrk] C:\WINDOWS\system32\svsccs.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\ssfzq.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [Windows Update] ssms.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Microsoft Visual Debuger] C:\WINDOWS\System32\mdm.exe
    O4 - HKLM\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe
    O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
    O4 - HKLM\..\Run: [NvidMediaCenter] C:\Program Files\Fichiers communs\System\wmsncs.exe
    O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
    O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
    O4 - HKLM\..\RunServices: [Windows Update] ssms.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
    O4 - HKCU\..\Run: [nl2plwrk] C:\WINDOWS\system32\svsccs.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [NvidMediaCenter] C:\Program Files\Fichiers communs\System\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: msddll - Unknown owner - C:\WINDOWS\system\msddll.exe (file missing)
    O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\System32\msr.exe (file missing)
    O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
    0
  3. michelange281
     
    re er merci pour ta réponse !!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:24:15, on 25/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\SoftwareDistribution\Download\Install\IE7-WindowsXP-x86-fra.exe
    c:\55d6b51ad41c14c3666e08f2d042\update\iesetup.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
    O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
    O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
    O4 - HKLM\..\Run: [nl2plwrk] C:\WINDOWS\system32\svsccs.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\ssfzq.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [Windows Update] ssms.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Microsoft Visual Debuger] C:\WINDOWS\System32\mdm.exe
    O4 - HKLM\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe
    O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
    O4 - HKLM\..\Run: [NvidMediaCenter] C:\Program Files\Fichiers communs\System\wmsncs.exe
    O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
    O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
    O4 - HKLM\..\RunServices: [Windows Update] ssms.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
    O4 - HKCU\..\Run: [nl2plwrk] C:\WINDOWS\system32\svsccs.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [NvidMediaCenter] C:\Program Files\Fichiers communs\System\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: msddll - Unknown owner - C:\WINDOWS\system\msddll.exe (file missing)
    O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\System32\msr.exe (file missing)
    O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
    0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Ton PC est très infecté.
    Il y a de multiples processus infectieux qui se lancent au démarrage.

    On commence.

    Tu vas utiliser SDFix téléchargeable à :
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Tu installes le logiciel.
    Tu peux t’aider du tuto suivant :
    https://www.malekal.com/slenfbot-still-an-other-irc-bot/

    Il faut que tu redémarres en mode sans échec.
    Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.

    A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    Choisis ton compte.

    Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.

    Ton ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
    L'outil va continuer à travailler, c'est normal.

    Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
    Ton bureau devrait réapparaitre.

    Ouvre le dossier de SDFix sur ton Bureau.
    Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

    Avec un nouveau log HijackThis !

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. michelange281
     
    j'ai un leger soucis !!

    cela fais une 10aine de fois que j'essai de demarer le mode sans echec seulement au moment ou ca charge ca me laisse le droit de choisir entre

    ==> administrateur
    ==>neunoeil ( nom de l'ordinateur ) lorsque je clique sur l'un ou sur l'autre ca me redemar entierement l'ordinateur en mode normal

    y a t'il un moyen de contourner se probleme !??

    merci
    0
  7. michelange281
     
    j'ai essayer de faire fonctionner SafeBootKeyRepair.­exe sans succé ca s'ouvre 2 second et ca se ferme un peu comme avec combofix je pense que se fichu virus me bloque tout !! j'ai possibilité de branche mon disk dur sur un autre ordinateur, est ce qu'avec cet solution je ne pourai pas completement netoyer le disk ? ca ma deja permi de completement le debloquer !!??
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    l'utilisation de safebootrepair est immédiate ( quelques secondes ).
    C'est normal.

    As-tu réessayé pour SDFix en mode sans échec ?

    Sinon, pour ton idée de mettre ton disque dur en esclave sur un autre PC, c'est réalisable mais il faut auparavant ciblerles processus, les clés infectées, ...

    Avant d'arriver à cette possibilité, il y aura sans doute moyen de nettoyer le PC.

    Réessaie SDFix pour commencer.

    A+
    0
  9. michelange281
     
    ca commence a me facher.....

    le mode sans echec plante toujours quoique ca s charge un peu plus que tout a l'heure j'ai a peine le temps de cliquer sur oui que hop ca redemar !! je vois plus trop quoi faire !!
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Ne désespère pas.

    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    Double-clique sur " RSIT.exe " pour le lancer .
    dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
    cliques ensuite sur " Continue " pour lancer l'analyse ...

    Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

    Attends jusqu’à la fin de l’analyse.
    deux rapports vont être generés.

    Poste uniquement le contenu de " log.txt ", et garde " info.txt " ( dans la barre des tâches), pour analyse, si je te le demande.

    Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

    A+
    0
  11. michelange281
     
    voici !!

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by neunoeil at 2009-03-25 19:49:11
    Microsoft Windows XP Édition familiale Service Pack 3
    System drive C: has 66 GB (86%) free of 76 GB
    Total RAM: 1271 MB (74% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:49:13, on 25/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\neunoeil\Bureau\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\neunoeil.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
    O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
    O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
    O4 - HKLM\..\Run: [nl2plwrk] C:\WINDOWS\system32\svsccs.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\ssfzq.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [Windows Update] ssms.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Microsoft Visual Debuger] C:\WINDOWS\System32\mdm.exe
    O4 - HKLM\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe
    O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
    O4 - HKLM\..\Run: [NvidMediaCenter] C:\Program Files\Fichiers communs\System\wmsncs.exe
    O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
    O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
    O4 - HKLM\..\RunServices: [Windows Update] ssms.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
    O4 - HKCU\..\Run: [nl2plwrk] C:\WINDOWS\system32\svsccs.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [NvidMediaCenter] C:\Program Files\Fichiers communs\System\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: msddll - Unknown owner - C:\WINDOWS\system\msddll.exe (file missing)
    O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\System32\msr.exe (file missing)
    O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
    0
  12. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Je regarde le rapport.
    On verra pour un script pour supprimer le maximum de ces fichiers infectieux.
    Il me faudra un peu de temps pour analyser complètement toutes ces infos.

    En attendant, lance cet outil.

    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
    Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    de retour vers 9 h 30.

    A+
    0
  13. michelange281
     
    re et encor merci de prendre du temps pour m'aider !!

    j'ai effectuer donc se scan voici le rapport !!

    Malwarebytes' Anti-Malware 1.34
    Version de la base de données: 1897
    Windows 5.1.2600 Service Pack 3

    25/03/2009 21:19:54
    mbam-log-2009-03-25 (21-19-54).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 112292
    Temps écoulé: 1 hour(s), 10 minute(s), 50 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 6
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NET Runtime Optimization Service v2.1.41329_X86 (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msddll (Backdoor.Bot) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced DHTML Enable (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg914-k641-26sf-n31p (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Update (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Spooler SubSystem App (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Explorer (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Update (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe") Good: (Explorer.exe) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850 (Trojan.Agent) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

    par contre au pendant que malwarebytes faisait son scan avast ma trovuer une merde voici

    C:\System Volume Information\_restore{F88FF69D-7241-4A53-B9A1-55284BB02C30}\RP9\A0011453.exe

    le seul probleme c'est que j'en ai eu une 30aine comme ca seul le chiffre changé

    C:\System Volume Information\_restore{F88FF69D-7241-4A53-B9A1-55284BB02C30}\RP9\A0011450.exe
    C:\System Volume Information\_restore{F88FF69D-7241-4A53-B9A1-55284BB02C30}\RP9\A0011451.exe
    C:\System Volume Information\_restore{F88FF69D-7241-4A53-B9A1-55284BB02C30}\RP9\A0011452.exe
    C:\System Volume Information\_restore{F88FF69D-7241-4A53-B9A1-55284BB02C30}\RP9\A0011453.exe
    ......
    0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu sais comment tu as attrapé cette infection ?
    je vois que tu as sans doute formaté et réinstallé ton système dernièrement. Pourquoi ?

    1/ Lance Hijackthis et tu choisis " Do a system scan only ".
    Tu sélectionnes les lignes suivantes :

    F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
    O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
    O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
    O4 - HKLM\..\Run: [nl2plwrk] C:\WINDOWS\system32\svsccs.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\ssfzq.exe
    O4 - HKLM\..\Run: [Windows Update] ssms.exe
    O4 - HKLM\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe
    O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
    O4 - HKLM\..\Run: [NvidMediaCenter] C:\Program Files\Fichiers communs\System\wmsncs.exe
    O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
    O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
    O4 - HKLM\..\RunServices: [Windows Update] ssms.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
    O4 - HKCU\..\Run: [nl2plwrk] C:\WINDOWS\system32\svsccs.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe (User 'SERVICE LOCAL')
    O23 - Service: msddll - Unknown owner - C:\WINDOWS\system\msddll.exe (file missing)
    O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\System32\msr.exe (file missing)
    O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)


    Tu choisis l'option " Fixchecked" en bas de la page.

    2/ Télécharge The Avenger sur ton Bureau.
    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * Click droit sur Avenger.zip et choisis Extraire tout .
    Vérifie qu'un dossier avenger a été crée sur le bureau
    * dans ce dossier, double-clique sur avenger.exe

    --> Copie le texte ci-dessous :

    Begin copying here:

    drivers to unload:
    msddll
    msrpxy
    NET Runtime Optimization Service v2.1.41329_X86

    Registry values to delete:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Local Security Authority Service

    Files to delete:
    C:\WINDOWS\System32\Isass.exe
    C:\WINDOWS\Fonts\wmsncs.exe
    C:\WINDOWS\system32\wmsoft35427.exe
    C:\WINDOWS\system32\wmsoft35427.exe
    C:\WINDOWS\system32\wmsoft18152.exe
    C:\WINDOWS\system32\zytuxa.bat
    C:\WINDOWS\system\msddll.exe
    C:\WINDOWS\System32\msr.exe


    Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

    --> Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

    * Clique sur OK.
    * Dans le rectangle blanc, sous "Input script here", fais un clic droit et choisis "paste".
    * Cliquer "Execute"comme ceci :
    http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg

    * Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.

    The Avenger va automatiquement faire ce qui suit:

    * Il va Re-démarrer le système.
    Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois
    * Pendant le re-démarrage, il apparaitra peut-être brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
    * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

    Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse.

    A+
    0
  15. michelange281
     
    re !!

    je vous explique deja !!

    j'ai recuperé ce pc a un ami me disan tu le garde si tu arrive a le faire fonctionner il beugué g reglé le probleme seulement en faisant les mises a jours windows ca a découvert que le windows n'etait pas valide ( merci les amis )
    j'ai donc tout réinstalé avec un windows valide j'ai commencé par telechargé avast puis les pilote audio video etc...( j'ai du choper ca ici ) et c a se moment que impossible de redemarer le pc ca faisait simplement un ecrant tout noir avec juste le souri qui se baladé a mon bon vouloir rien ne marché, j'ai donc branché sur ma tour le disque dur et securitoo a trouvé 276 virus je rebranche et hop tout fonctionne enfin presque juste se message d'erreur wmsncs.exe

    sinon pour ta solution j'ai fais les fix avec hijack ( je ne les ai pas tout retrouvé ) puis j'ai continué avec avenger en faisant execute ca ma deja prevenue du redemarage puis ensuite un message d'erreur fichier introuvable et hop ca a redemarer ( 2 fois ) mais maintenan le soucis c'est que ca na pas generé de rapport .txt

    je te quitte donc en laissant un scan de hijack

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:08:39, on 25/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Microsoft Visual Debuger] C:\WINDOWS\System32\mdm.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Microsoft Visual Debuger] C:\WINDOWS\System32\mdm.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    0
  16. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Le PC que t'a refilé ce copain était infecté par une sale bestiole, un Virut --> wmsncs.exe
    une des pires infections actuellement.

    1/ Vérifie tout de même pour le rapport d'Avenger en C:\avenger.txt.
    Il doit aussi y a voir un dossier backup dans le dossier C:\Avenger.
    Vérifie qu'il n'est pas vide.

    2/ Comme je te le disais, virut est une infection très compliqué voire impossible à supprimer.
    Elle supprime petit à petit les .exe du système.
    Bien souvent cela se termine par un formatage bas niveau.

    On va vérifier cela et on avisera.

    Par précaution et comme tu as branché le disque dur sur ta tour, sauvegarde tous tes documents ( sorcément dans ce cas, on évite de sauvegarder les .exe et les .scr ).

    Tu vas télécharger Dr Web CureIT Enregistre-le sur le bureau.
    https://free.drweb.com/cureit/
    ( téléchargement en bas de page )

    Double-clique sur launch.exe pour le lancer.
    Une fenêtre va s’ouvrir. Clique sur « commencer le scan » .
    Une fenêtre de confirmation va s’ouvrir. Accepte.

    Le scan rapide va s’exécuter.
    Si des fichiers infectés sont trouvés, choisis « désinfecter» pour ces fichiers.
    Si cette action est impossible, choisis alors quarantaine.

    Lance ensuite une analyse complete .Mêmes actions.
    A la fin de ce scan , enregistre le rapport :
    Menu fichier --> enregistrer le rapport

    Poste ce rapport dans ton prochain message.

    A+
    0
  17. michelange281
     
    re bonjour !!

    je suis dsl te vous avoir abandonné hier soir !! je suis en train d'effectuer le sac avec Dr Web je vous tiendrai au courant de son evolution en postant le rapport, je voulais juste prevenir que au démarage je n'ai pas eu le message habituel d'erreur qui parle du wmsncs.exe !!

    peut etre un bon signe ??

    je vous tien au courant pour la suite

    merci
    0
  18. michelange281
     
    j'ai un drole de probleme, Dr web ma trouver "un virus "

    il sagit de combofix.exe je uis obligé de mettre en quarantaine.....
    0
  19. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Dr Web risque de détecter certains de ces outils comme combofix, smitfraudfix, ....
    Ce n'est pas bien grave car le principal, c'est qu'on nettoie au mieux le PC.

    A+
    0
  20. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    POur poster le rapport, utilise le site https://www.cjoint.com/
    Tu m'indiqueras le lien crée.

    A+
    0
  • 1
  • 2
  • 3