Trojans en pagaille + msr.exe
marmitonne
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Mon antivirus AVAST détecte sans arrêt des trojans depuis 10jours que je mets en quarantaine. Mais j'ai l'impression que la cause n'est pas traitée, parce que ça ne s'arrête plus.
J'ai aussi souvent le message "msr.exe a rencontré un problème et doit fermer". La seule explication que j'ai trouvée sur divers forum serait le trojan GAOBOT. Mais les 2 fix censés détecter et éliminer ce trojan ne le trouvent pas sur mon poste.
Ne sachant plus quoi faire, j'ai lancé une analyse HijackThis.
Quelqu'un peut-il me dire ce que révèle ce log et ce que je peux faire pour traiter mon problème?
Merci d'avance
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20, on 2009-03-26
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Antivirus\Avast 4\aswUpdSv.exe
C:\Program Files\Antivirus\Avast 4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\msr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ANTIVI~1\AVAST4~1\ashDisp.exe
C:\Program Files\Razer_Pro_Solutions\razerhid.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Antivirus\Avast 4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Razer_Pro_Solutions\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\carole\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\AVAST4~1\ashDisp.exe
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer_Pro_Solutions\razerhid.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Antivirus\Avast 4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Antivirus\Avast 4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Antivirus\Avast 4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Antivirus\Avast 4\ashWebSv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\system32\msr.exe
Mon antivirus AVAST détecte sans arrêt des trojans depuis 10jours que je mets en quarantaine. Mais j'ai l'impression que la cause n'est pas traitée, parce que ça ne s'arrête plus.
J'ai aussi souvent le message "msr.exe a rencontré un problème et doit fermer". La seule explication que j'ai trouvée sur divers forum serait le trojan GAOBOT. Mais les 2 fix censés détecter et éliminer ce trojan ne le trouvent pas sur mon poste.
Ne sachant plus quoi faire, j'ai lancé une analyse HijackThis.
Quelqu'un peut-il me dire ce que révèle ce log et ce que je peux faire pour traiter mon problème?
Merci d'avance
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20, on 2009-03-26
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Antivirus\Avast 4\aswUpdSv.exe
C:\Program Files\Antivirus\Avast 4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\msr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ANTIVI~1\AVAST4~1\ashDisp.exe
C:\Program Files\Razer_Pro_Solutions\razerhid.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Antivirus\Avast 4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Razer_Pro_Solutions\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\carole\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\AVAST4~1\ashDisp.exe
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer_Pro_Solutions\razerhid.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Antivirus\Avast 4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Antivirus\Avast 4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Antivirus\Avast 4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Antivirus\Avast 4\ashWebSv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\system32\msr.exe
A voir également:
- Trojans en pagaille + msr.exe
- Anti trojan gratuit en francais - Télécharger - Antivirus & Antimalwares
13 réponses
Bonsoir ;
Télécharge Superantispyware (SAS) en cliquant sur ce lien :
https://www.superantispyware.com/superantispywarefreevspro.html
Choisis "enregistrer" et enregistre-le sur ton bureau.
Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
Créé une icône sur le bureau.
Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.
- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
Dans la colonne de gauche, coche C:\Fixed Drive.
Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
Pour recopier les informations sur le forum, fais ceci :
- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
- Copie son contenu dans ta réponse.
Télécharge Superantispyware (SAS) en cliquant sur ce lien :
https://www.superantispyware.com/superantispywarefreevspro.html
Choisis "enregistrer" et enregistre-le sur ton bureau.
Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
Créé une icône sur le bureau.
Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.
- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
Dans la colonne de gauche, coche C:\Fixed Drive.
Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
Pour recopier les informations sur le forum, fais ceci :
- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
- Copie son contenu dans ta réponse.
Le mieux, c'est de poster un Hijackthis après un antispyware...
Faut mettre les lunettes :))) le rapport a été posté ............
Bonjour,
Ceci est un appel au secours !!!
En naviguant sur le net pour trouver une réponse à mon problème je suis tombée sur votre conversation à propos de msr.exe et il semblerait que vous vous y connaissiez dans ce domaine.
Suite à une invasion de virus, j'ai changé le disque dur de mon PC il y a à peine 2 semaines. Je pensais être enfin tranquille pour un moment or, environ 2 jours après avoir installé mon nouveau disque dur ainsi qu'Avast et Spybot, j'ai de nouveau été attaquée par divers virus, notamment des trojans. Avast m'a prévenu et je pensais en être débarrassée. Mais pas du tout !!! Depuis, j'ai sans cesse le message d'erreur concernant msr.exe. Ce que je ne comprends vraiment pas c'est que, lorsque je fais un scan du PC par Avast ou Spybot, ils ne détectent rien !
La nouveauté du jour, c'est qu'une fenêtre s'ouvre avec, en titre :
hpqtra08.exe - Pas de panique
puis, en dessous :
Il n'y a pas de disque dans le lecteur.Insérez un disque dans le lecteur\Device\Harddisk\DR3
Cette fenêtre apparaît 3 ou 4 fois avant de disparaître et elle revient environ toutes les 2 minutes.
J'ai suivi vos instructions concernant l'installation de SuperAntiSpyware et je suis en ce moment même en train de scanner le disque dur.
Que puis-je faire ? A votre avis, est-ce grave ?
Sincèrement, j'en ai ras-le-bol car ces histoires de virus n'en finissent plus. J'espère que vous pourrez me répondre. D'avance merci.
Ceci est un appel au secours !!!
En naviguant sur le net pour trouver une réponse à mon problème je suis tombée sur votre conversation à propos de msr.exe et il semblerait que vous vous y connaissiez dans ce domaine.
Suite à une invasion de virus, j'ai changé le disque dur de mon PC il y a à peine 2 semaines. Je pensais être enfin tranquille pour un moment or, environ 2 jours après avoir installé mon nouveau disque dur ainsi qu'Avast et Spybot, j'ai de nouveau été attaquée par divers virus, notamment des trojans. Avast m'a prévenu et je pensais en être débarrassée. Mais pas du tout !!! Depuis, j'ai sans cesse le message d'erreur concernant msr.exe. Ce que je ne comprends vraiment pas c'est que, lorsque je fais un scan du PC par Avast ou Spybot, ils ne détectent rien !
La nouveauté du jour, c'est qu'une fenêtre s'ouvre avec, en titre :
hpqtra08.exe - Pas de panique
puis, en dessous :
Il n'y a pas de disque dans le lecteur.Insérez un disque dans le lecteur\Device\Harddisk\DR3
Cette fenêtre apparaît 3 ou 4 fois avant de disparaître et elle revient environ toutes les 2 minutes.
J'ai suivi vos instructions concernant l'installation de SuperAntiSpyware et je suis en ce moment même en train de scanner le disque dur.
Que puis-je faire ? A votre avis, est-ce grave ?
Sincèrement, j'en ai ras-le-bol car ces histoires de virus n'en finissent plus. J'espère que vous pourrez me répondre. D'avance merci.
Ai-je tort de demander de l'aide ?
Si tu ne fais pas ce qu'on te demande alors pourquoi continuerai je ?
Regarde le post#15 ....
Salut,
Télécharger et installer HijackThis v2.0.2 sur le Bureau -> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Utilisation :
* Cliquer sur Do a system scan and save a logfile. Un rapport va être généré.
* Copier/coller le rapport sur le forum
Télécharger et installer HijackThis v2.0.2 sur le Bureau -> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Utilisation :
* Cliquer sur Do a system scan and save a logfile. Un rapport va être généré.
* Copier/coller le rapport sur le forum
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:30:50, on 06/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\msr.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\system32\msr.exe
Scan saved at 10:30:50, on 06/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\msr.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\system32\msr.exe
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/
Generated 04/06/2009 at 11:09 AM
Application Version : 4.26.1000
Core Rules Database Version : 3829
Trace Rules Database Version: 1785
Scan type : Quick Scan
Total Scan Time : 00:21:10
Memory items scanned : 364
Memory threats detected : 1
Registry items scanned : 351
Registry threats detected : 0
File items scanned : 4526
File threats detected : 17
Trojan.Agent/Gen-Burn4Free
C:\WINDOWS\SYSTEM32\B4FM.DLL
C:\WINDOWS\SYSTEM32\B4FM.DLL
Adware.Tracking Cookie
C:\Documents and Settings\titi\Cookies\titi@sexe911[2].txt
C:\Documents and Settings\titi\Cookies\titi@adtech[1].txt
C:\Documents and Settings\titi\Cookies\titi@cetelem.solution.weborama[2].txt
C:\Documents and Settings\titi\Cookies\titi@serving-sys[1].txt
C:\Documents and Settings\titi\Cookies\titi@ad.yieldmanager[1].txt
C:\Documents and Settings\titi\Cookies\titi@1068064317[1].txt
C:\Documents and Settings\titi\Cookies\titi@wysistat[2].txt
C:\Documents and Settings\titi\Cookies\titi@weborama[1].txt
C:\Documents and Settings\titi\Cookies\titi@ads.creaty[1].txt
C:\Documents and Settings\titi\Cookies\titi@smartadserver[2].txt
C:\Documents and Settings\titi\Cookies\titi@tracking.publicidees[1].txt
C:\Documents and Settings\titi\Cookies\titi@bs.serving-sys[1].txt
C:\Documents and Settings\titi\Cookies\titi@adcentriconline[1].txt
C:\Documents and Settings\titi\Cookies\titi@adserver.aol[1].txt
C:\Documents and Settings\titi\Cookies\titi@microsoftwga.112.2o7[1].txt
C:\Documents and Settings\titi\Cookies\titi@xiti[1].txt
https://www.superantispyware.com/
Generated 04/06/2009 at 11:09 AM
Application Version : 4.26.1000
Core Rules Database Version : 3829
Trace Rules Database Version: 1785
Scan type : Quick Scan
Total Scan Time : 00:21:10
Memory items scanned : 364
Memory threats detected : 1
Registry items scanned : 351
Registry threats detected : 0
File items scanned : 4526
File threats detected : 17
Trojan.Agent/Gen-Burn4Free
C:\WINDOWS\SYSTEM32\B4FM.DLL
C:\WINDOWS\SYSTEM32\B4FM.DLL
Adware.Tracking Cookie
C:\Documents and Settings\titi\Cookies\titi@sexe911[2].txt
C:\Documents and Settings\titi\Cookies\titi@adtech[1].txt
C:\Documents and Settings\titi\Cookies\titi@cetelem.solution.weborama[2].txt
C:\Documents and Settings\titi\Cookies\titi@serving-sys[1].txt
C:\Documents and Settings\titi\Cookies\titi@ad.yieldmanager[1].txt
C:\Documents and Settings\titi\Cookies\titi@1068064317[1].txt
C:\Documents and Settings\titi\Cookies\titi@wysistat[2].txt
C:\Documents and Settings\titi\Cookies\titi@weborama[1].txt
C:\Documents and Settings\titi\Cookies\titi@ads.creaty[1].txt
C:\Documents and Settings\titi\Cookies\titi@smartadserver[2].txt
C:\Documents and Settings\titi\Cookies\titi@tracking.publicidees[1].txt
C:\Documents and Settings\titi\Cookies\titi@bs.serving-sys[1].txt
C:\Documents and Settings\titi\Cookies\titi@adcentriconline[1].txt
C:\Documents and Settings\titi\Cookies\titi@adserver.aol[1].txt
C:\Documents and Settings\titi\Cookies\titi@microsoftwga.112.2o7[1].txt
C:\Documents and Settings\titi\Cookies\titi@xiti[1].txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Excusez-moi je n'avais pas vu... je suis amateur. Est-ce tu pourrais donner les noms des fichiers infectées?
Excusez-moi je n'avais pas vu... je suis amateur. Est-ce tu pourrais donner les noms des fichiers infectées?
On ne peut rien tirer du rapport Hijack this que j'ai posté dans le premier message ?
msr.exe est surement infecté et SAS supprimes ce trojan .
A toi de voir si tu veux continuer avec moi ou pas ?
marmitonne : Tu peux me coller le rapport de SAS .
Si tu ne veux pas suivre mes instructions ,je m'arreterais la ...
Si tu ne veux pas suivre mes instructions ,je m'arreterais la ...
Bonjour,
Je sais pas ce que vous en pensez jfkpresident mais moi je préfère antivir. Il est bien plus performant.
Je sais pas ce que vous en pensez jfkpresident mais moi je préfère antivir. Il est bien plus performant.
Je sais pas ce que vous en pensez jfkpresident mais moi je préfère antivir.
Si c'est par rapport a SAS ...Rien a voir ,il ne faut pas mélanger Antispyware et Antivirus !
Bon on va reprendre des le début ...
Fait ceci :
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Aide en images si besoin
Fait ceci :
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Aide en images si besoin
j'ai fini par m'en sortir. En attendant vos réponses , j'ai fait plein d'opérations et mon pc a l'air nickel maintenant.
Pour que ça aide d'autres gens :
1_ disparition du message msr.exe
En cherchant à traiter le cas du msile.exe, je suis tombé sur un post qui citait msile.exe+ msr.exe.
J'ai fait la procédure en entier mais n'ai rien supprimé avec le premier outil. Seul l'outil killbox a servi je crois. En tout cas le message qui popait toutes les minutes avant ne s'affiche plus jamais depuis cette procédure en tout cas.
Il faut imprimer ou enregistrer dans le bloc note pour ne rien oublier
1.1_Désactiver la restauration systeme
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
et reboot le pc normalement (pas en sans echecs)
1.2 telechargements
process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
ou ici :
http://renaud.helstroffer.free.fr/download.php?op=geninfo&did=6
et Pocket Killbox ici :
http://www.downloads.subratam.org/KillBox.exe
Désactive le temps de la manip, le Tea timer de spybot (si tu l as)
lance spybot >mode avancé> outils >> résident
Décoche la case résident "tea timer"
referme spybot
Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)
1.3 premier outil process xp
Dézippe(clic droit > extraire) process xp et double clic sur processxp.exe
* Dans la fenetre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenetre qui s'ouvre clic sur threads
selectionne seulement les lignes qui contiennent accdos.dll puis clic sur kill pour chacunes des lignes trouvées.
une fois fait, valider avec ok
* Dans la fenetre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenetre qui s'ouvre clic sur threads
selectionner seulement les lignes qui contiennent accdos.dll puis clic sur kill pour chacunes des lignes trouvées.
une fois fait, valider avec ok
1.4 puis lancer hijackthis:
clic sur "do a system scan only"
* Cocher la case au début de ces lignes:
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: C:\WINDOWS\system32\ssc.dll - {3379F4B4-36AD-47B6-8189-6E754932B4AD} - C:\WINDOWS\system32\ssc.dll (file missing)
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Config\accdos.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: accdos - C:\WINDOWS\Config\accdos.dll
* Valider avec fix checked
1.5 Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:
C:\WINDOWS\Config\accdos.dll
- clic sur la croix rouge
- une fenetre va apparaitre pour confirmation clic sur YES
- une seconde fenetre te demande si tu veux redemarrer clic sur YES
Laisse le pc redemarrer
recoche la case pour réactiver le tea timer de spybot
Pour que ça aide d'autres gens :
1_ disparition du message msr.exe
En cherchant à traiter le cas du msile.exe, je suis tombé sur un post qui citait msile.exe+ msr.exe.
J'ai fait la procédure en entier mais n'ai rien supprimé avec le premier outil. Seul l'outil killbox a servi je crois. En tout cas le message qui popait toutes les minutes avant ne s'affiche plus jamais depuis cette procédure en tout cas.
Il faut imprimer ou enregistrer dans le bloc note pour ne rien oublier
1.1_Désactiver la restauration systeme
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
et reboot le pc normalement (pas en sans echecs)
1.2 telechargements
process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
ou ici :
http://renaud.helstroffer.free.fr/download.php?op=geninfo&did=6
et Pocket Killbox ici :
http://www.downloads.subratam.org/KillBox.exe
Désactive le temps de la manip, le Tea timer de spybot (si tu l as)
lance spybot >mode avancé> outils >> résident
Décoche la case résident "tea timer"
referme spybot
Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)
1.3 premier outil process xp
Dézippe(clic droit > extraire) process xp et double clic sur processxp.exe
* Dans la fenetre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenetre qui s'ouvre clic sur threads
selectionne seulement les lignes qui contiennent accdos.dll puis clic sur kill pour chacunes des lignes trouvées.
une fois fait, valider avec ok
* Dans la fenetre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenetre qui s'ouvre clic sur threads
selectionner seulement les lignes qui contiennent accdos.dll puis clic sur kill pour chacunes des lignes trouvées.
une fois fait, valider avec ok
1.4 puis lancer hijackthis:
clic sur "do a system scan only"
* Cocher la case au début de ces lignes:
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: C:\WINDOWS\system32\ssc.dll - {3379F4B4-36AD-47B6-8189-6E754932B4AD} - C:\WINDOWS\system32\ssc.dll (file missing)
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Config\accdos.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: accdos - C:\WINDOWS\Config\accdos.dll
* Valider avec fix checked
1.5 Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:
C:\WINDOWS\Config\accdos.dll
- clic sur la croix rouge
- une fenetre va apparaitre pour confirmation clic sur YES
- une seconde fenetre te demande si tu veux redemarrer clic sur YES
Laisse le pc redemarrer
recoche la case pour réactiver le tea timer de spybot
Après j'ai lancé bitdefender en ligne pour voir ce qu'il restait :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
2_ "C:\WINDOWS\system32\drivers\sysdrv32.sys" Infecté par: Trojan.Agent.ALRI
Supprimé automatiquement par combofix.
Vous pouvez télécharger combofix ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Il y a de très nombreuses mises en garde sur combofix qui peut êtr dansgereux si on suit pas bien les indications.
Les 10minutes après le re-démarrage paraissent très longues comme il n'y a pas de signe d'avancement, mais il ne faut toucher à rien tant que le rapport .txt ne s'affiche pas. Le fait que les programmes de lancent automatiquement au démarrage ne pose pas de problème.
3_C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP2\A0000016.sys
Infecté par: Trojan.Agent.ALRI
L'emplacement indique un points de restauration système.
Tu vas faire clic droit sur Poste de travail, Propriétés.
Tu cliques ensuite sur l'onglet Restauration et tu décoches la ligne Restauration automatique du système.
Une fenêtre d'avertissement va alors apparaître en t'informant que tous les points de restauration vont être détruits.
Tu confirmes en cliquant sur Oui/Ok.
La procédure ne précise pas si on peut ré-activer le système de restauration. Je ne l'ai pas ré-activé en attendant de trouver la réponse.
http://www.bitdefender.fr/scan_fr/scan8/ie.html
2_ "C:\WINDOWS\system32\drivers\sysdrv32.sys" Infecté par: Trojan.Agent.ALRI
Supprimé automatiquement par combofix.
Vous pouvez télécharger combofix ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Il y a de très nombreuses mises en garde sur combofix qui peut êtr dansgereux si on suit pas bien les indications.
Les 10minutes après le re-démarrage paraissent très longues comme il n'y a pas de signe d'avancement, mais il ne faut toucher à rien tant que le rapport .txt ne s'affiche pas. Le fait que les programmes de lancent automatiquement au démarrage ne pose pas de problème.
3_C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP2\A0000016.sys
Infecté par: Trojan.Agent.ALRI
L'emplacement indique un points de restauration système.
Tu vas faire clic droit sur Poste de travail, Propriétés.
Tu cliques ensuite sur l'onglet Restauration et tu décoches la ligne Restauration automatique du système.
Une fenêtre d'avertissement va alors apparaître en t'informant que tous les points de restauration vont être détruits.
Tu confirmes en cliquant sur Oui/Ok.
La procédure ne précise pas si on peut ré-activer le système de restauration. Je ne l'ai pas ré-activé en attendant de trouver la réponse.
Bitdefender m'a confirmé que l'ordi est propre. C'est bonheur !
Merci à jfkpresident et nihat42 qui ont répondu vite.
C'est rassurant de pas être seul.
Et pour un petit nettoyage complet qui redonne une jeunesse au pc, je vous conseille ce tutorial :
https://www.pc-infopratique.com/article-13-1-le-nettoyage-du-pc.html pour un ptit plus? :p
Merci à jfkpresident et nihat42 qui ont répondu vite.
C'est rassurant de pas être seul.
Et pour un petit nettoyage complet qui redonne une jeunesse au pc, je vous conseille ce tutorial :
https://www.pc-infopratique.com/article-13-1-le-nettoyage-du-pc.html pour un ptit plus? :p
J'ai juste une question : Pourquoi etre venu posté sur CCM ?
Hello jfk
Je suis venu poster parce que je ne trouvais pas de solution après plusieurs jours de recherche seul.
J'ai posté un log d'Highjackthis parce que je me suis dit que ca pourrait me donner des pistes. Je ne sais pas analyser ce log. Je vous ai demandé de l'aide pour ça. Ai-je tort de demander de l'aide ?
Mais c'est pas parce qu'on m'aide que je ne continue pas à chercher.
Je suis venu poster parce que je ne trouvais pas de solution après plusieurs jours de recherche seul.
J'ai posté un log d'Highjackthis parce que je me suis dit que ca pourrait me donner des pistes. Je ne sais pas analyser ce log. Je vous ai demandé de l'aide pour ça. Ai-je tort de demander de l'aide ?
Mais c'est pas parce qu'on m'aide que je ne continue pas à chercher.
