Sujet Précédent Sujet Suivant

SPYWARE C:\WINDOWS\sed.exe

tarzie Messages postés 63 Statut Membre -  
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,

J'ai un doute sur se fichier après avoir lu quelque article sur les forum possibilité d'un spyware
A voir également:

46 réponses

Précédent
Réponse 21 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Option 2 - Nettoyage :

Prends bien notes de ce qu'il faut faire car tu n'auras pas accès à internet en mode sans échec !!

redémarre le PC en mode sans échec

▶ Relance smitfraudfix

▶ Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

▶ A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

▶ Enregistre le rapport sur ton bureau

▶ Redémarrer en mode normal et poster le rapport.
0
Réponse 22 / 46
tarzie Messages postés 63 Statut Membre 4
 
peut-être c'est normal mais j'ai eu sa au démarrage du PC j'ai fait une capture d'ecran

https://imageshack.com/

maintenant je cherche le cd mais comme c'est pas préciser je vais me les faire un par un ou bien j'attends la fin du nettoyage lol

et voila le rapport après suppression

SmitFraudFix v2.414

Rapport fait à 15:04:05,59, 06/05/2009
Executé à partir de C:\Documents and Settings\Ben\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression C:\autorun.inf

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{03A82A74-970A-4584-9695-32878DD37C50}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{03A82A74-970A-4584-9695-32878DD37C50}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{03A82A74-970A-4584-9695-32878DD37C50}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK.2

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 23 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Non ce n'est pas normal d'avoir eu ça au démarrage :s

Ensuite fais ceci stp :

▶ Telecharge UsbFix de C_XX & Chiquitine29

▶ tutoriel d'installation

▶ tutoriel recherche

▶ Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

▶ Double clic sur le raccourci UsbFix sur ton bureau

▶ Choisi l'option 1 (recherche)

▶ Laisse travailler l'outil

▶ Ensuite post le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 24 / 46
tarzie Messages postés 63 Statut Membre 4
 
############################## [ UsbFix V3.017 # Scan ]

# User : Ben (Utilisateurs) # ORDINATEUR
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:26:55 | 06/05/2009

# Intel(R) Pentium(R) 4 CPU 2.93GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# FW : Sygate Personal Firewall Pro[ Enabled ]4.6

# C:\ # Disque fixe local # 39,8 Go (31,9 Go free) # NTFS
# D:\ # Disque fixe local # 146,5 Go (5,53 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible # 3,92 Go (2,95 Go free) # FAT32
# L:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\KVIrc\kvirc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Ben"
HKLM_logon: "AltDefaultUserName"="Ben"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: TrueImageMonitor.exe=C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
HKLM_Run: AcronisTimounterMonitor=C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
HKLM_Run: Acronis Scheduler2 Service="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
HKLM_Run: SoundMan=SOUNDMAN.EXE
HKCU_Run: ccleaner="C:\Program Files\CCleaner\CCleaner.exe" /AUTO
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

################## [ Informations ]

# K:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\system32\tmp.reg
Found ! C:\WINDOWS\system32\tmp.txt

################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{68bf09a3-398b-11de-97c9-000feacc398d}\Shell\AutoRun\command

################## [ ! Fin du rapport # UsbFix V3.017 ! ]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
@ ezula :

En effet ce fichier pourrait bien provenir de ComboFix.

@tarzie :

Avais-tu téléchargé ComboFix ??

▶ tutoriel nettoyage

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

▶ Double clic sur le raccourci UsbFix présent sur ton bureau

▶ choisi l'option 2 ( Suppression )

▶ Ton bureau disparaîtra et le pc redémarrera .

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Réponse 26 / 46
tarzie Messages postés 63 Statut Membre 4
 
oui mais c'était il'y'a quelque mois
0
tarzie Messages postés 63 Statut Membre 4
 
hier pas possible
0
Réponse 27 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Et il est toujours présent sur ton bureau ??
0
Réponse 28 / 46
tarzie Messages postés 63 Statut Membre 4
 
combofix non

mais des que mon mari rentre je lui demande s'il c'est servit de sa

c'est quoi exactement combofix c'est pas se que je croit car la il va m'entendre quand je voit x je voit rouge
0
Réponse 29 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
MDR... Non ce n'est rien de cochon t'inquiète pas... C'est un logiciel de désinfection très puissant à ne pas utiliser sans raison...

J'ai encore un doute en voyant que ce fichier a été créé aujourd'hui à 12h19 :

2009-05-06 12:19:10 ----A---- C:\WINDOWS\sed.exe
0
Réponse 30 / 46
tarzie Messages postés 63 Statut Membre 4
 
voila le rapport quand il rentre je lui demande quesque fait je continue a nettoyer ou je l'attend pour lui demander si il a fait passer combofix car le pc normalement lui il s'en sert pour son pmu c'est dangereux ou grave

et j'ai toujours la fenêtre qui s'ouvre de nouveau matériel trouver

############################## [ UsbFix V3.017 # Cleaning ]

# User : Ben (Utilisateurs) # ORDINATEUR
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:51:28 | 06/05/2009

# Intel(R) Pentium(R) 4 CPU 2.93GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# FW : Sygate Personal Firewall Pro[ (!) Disabled ]4.6

# C:\ # Disque fixe local # 39,8 Go (31,9 Go free) # NTFS
# D:\ # Disque fixe local # 146,5 Go (5,53 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible # 3,92 Go (2,95 Go free) # FAT32
# L:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\system32\tmp.reg
Deleted ! C:\WINDOWS\system32\tmp.txt

################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{68bf09a3-398b-11de-97c9-000feacc398d}\Shell\AutoRun\command

################## [ Listing des fichiers présent ]

[17/04/2009 15:20|--a------|0] - C:\AUTOEXEC.BAT
[06/05/2009 00:03|---hs----|231] - C:\boot.ini
[28/08/2001 20:00|-rahs----|4952] - C:\Bootfont.bin
[17/04/2009 15:20|--a------|0] - C:\CONFIG.SYS
[17/04/2009 15:20|-rahs----|0] - C:\IO.SYS
[17/04/2009 15:20|-rahs----|0] - C:\MSDOS.SYS
[04/08/2004 04:38|-rahs----|47564] - C:\NTDETECT.COM
[04/08/2004 04:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[06/05/2009 15:05|--a------|2460] - C:\rapport.txt
[06/05/2009 15:52|--a------|2823] - C:\UsbFix.txt
[07/05/2008 21:53|--ahs----|75] - D:\desktop.ini
[13/12/2008 13:10|--a------|10557] - D:\pour les crepes.odt
[08/02/2009 21:19|--a------|50287920] - D:\rescuecd.exe
[06/05/2009 15:43|--a------|14405] - K:\ski1.odt
[07/04/2009 22:14|--a------|2967800] - K:\mbam-setup.exe
[06/05/2009 15:30|--a------|1111] - K:\ski12.txt
[28/04/2009 13:44|--a------|3300289] - K:\AIDA_32_3.93_Personnal_Edition.exe
[29/04/2009 18:01|--a------|1622] - K:\BOOTEX.LOG

################## [ Vaccination ]

# K:\autorun.inf -> Folder created by UsbFix.

################## [ Cracks / Keygens / Serials ]

C:\Documents and Settings\Ben\Bureau\SmitfraudFix\o4Patch.exe

################## [ ! Fin du rapport # UsbFix V3.017 ! ]
0
Réponse 31 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Ok... Nous allons quand même continuer en l'attendant...

▶ Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.

/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

▶ Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

▶ Ensuite poste le rapport dans ta prochaine réponse
0
Réponse 32 / 46
tarzie Messages postés 63 Statut Membre 4
 
Microsoft Windows XP Professional (5.1.2600) Service Pack 2

C:\ [Fixed] - NTFS - (Total:40758 Mo/Free:3992 Mo)
D:\ [Fixed] - NTFS - (Total:150013 Mo/Free:1568 Mo)
E:\ [CD-Rom] (Total:0 Mo/Free:0 Mo)
F:\ [Removable] (Total:0 Mo/Free:0 Mo)
G:\ [Removable] (Total:0 Mo/Free:0 Mo)
H:\ [Removable] (Total:0 Mo/Free:0 Mo)
I:\ [Removable] (Total:0 Mo/Free:0 Mo)
J:\ [Removable] (Total:0 Mo/Free:0 Mo)
L:\ [Removable] (Total:0 Mo/Free:0 Mo)

06/05/2009|16:19

----------------------\\ Processes..

--Locked-- [System Process]
---------- System
---------- \SystemRoot\System32\smss.exe
---------- \??\C:\WINDOWS\system32\csrss.exe
---------- \??\C:\WINDOWS\system32\winlogon.exe
---------- C:\WINDOWS\system32\services.exe
---------- C:\WINDOWS\system32\lsass.exe
---------- C:\WINDOWS\system32\svchost.exe
---------- C:\WINDOWS\system32\svchost.exe
---------- C:\WINDOWS\System32\svchost.exe
---------- C:\WINDOWS\system32\svchost.exe
---------- C:\WINDOWS\system32\spoolsv.exe
---------- C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
---------- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
---------- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
---------- C:\Program Files\Sygate\SPF\smc.exe
---------- C:\WINDOWS\system32\svchost.exe
---------- C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
---------- C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
---------- C:\WINDOWS\System32\alg.exe
---------- C:\WINDOWS\system32\wbem\wmiprvse.exe
---------- C:\WINDOWS\explorer.exe
---------- C:\Program Files\Mozilla Firefox\firefox.exe
---------- C:\WINDOWS\system32\cmd.exe
---------- C:\Rooter$\RK.exe

----------------------\\ Search..

----------------------\\ ROOTKIT !!

1 - "C:\Rooter$\Rooter_1.txt" - 06/05/2009|16:19

----------------------\\ Scan completed at 16:19
0
Réponse 33 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Ok maintenant refais un RSIT et poste les rapports stp
0
Réponse 34 / 46
tarzie Messages postés 63 Statut Membre 4
 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Ben at 2009-05-06 16:27:54
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 33 GB (80%) free of 41 GB
Total RAM: 1535 MB (72% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:00, on 06/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\KVIrc\kvirc.exe
C:\Documents and Settings\Ben\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Ben.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: Sentinel.lnk = C:\Program Files\Runtimeware.com\Sentinel2\Sentinel.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
0
Réponse 35 / 46
tarzie Messages postés 63 Statut Membre 4
 
info.txt logfile of random's system information tool 1.06 2009-05-06 13:12:49

======Uninstall list======

-->C:\Program Files\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->MsiExec /X{DD1865F0-AD73-40FB-B23E-1822E02396FF}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}
7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe"
Acronis True Image Home-->MsiExec.exe /X{E5343B27-55DF-40BD-9FCF-A643C1331E8A}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Analyseur MSXML 6.0-->MsiExec.exe /I{5903C48B-E953-47B8-A651-B9222C483057}
a-squared Free 4.0-->"C:\Program Files\a-squared Free\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CleanUp!-->C:\Program Files\CleanUp!\uninstall.exe
Doctor Spyware Cleaner 1.1-->"C:\Program Files\Doctor Spyware Cleaner\unins000.exe"
EasyCleaner-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F5346614-B7C4-4E94-826A-E2363155233D}\setup.exe" -l0x9 -removeonly
Error Repair Professional 3.9.3-->"C:\Program Files\Error Repair Professional\unins000.exe"
Foxit Reader-->C:\Program Files\Foxit Software\Foxit Reader\Uninstall.exe
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
HomePlayer 1.5.7-->C:\Program Files\HomePlayer\uninst.exe
HP Imaging Device Functions 9.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP OCR Software 9.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
HP Photosmart All-In-One Software 9.0-->C:\Program Files\HP\Digital Imaging\{B46AC30C-22D2-4610-B041-1DA7BB29EB57}\setup\hpzscr01.exe -datfile hposcr21.dat
HP Photosmart Essential 2.01-->C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat
HP Solution Center 9.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HPSSupply-->MsiExec.exe /X{487B0B9B-DCD4-440D-89A0-A6EDE1A545A3}
Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
KVIrc-->"C:\Program Files\KVIrc\uninstall.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Malwarebytes' RogueRemover-->"C:\Program Files\RogueRemover FREE\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB886903)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M886903\M886903Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MRU-Blaster v1.5 (Database 3/28/2004)-->"C:\Program Files\MRU-Blaster\unins000.exe"
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
Nero 8-->MsiExec.exe /X{5FCCD531-1B38-4A94-924C-127F722F1036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{DD1865F0-AD73-40FB-B23E-1822E02396FF}
OpenOffice.org 2.4-->MsiExec.exe /I{A122962F-331A-4C2E-93DB-AD92D8A4FB14}
PC Booster-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{73F1BDB7-11E1-11D5-9DC6-00C04F2FC33B}\setup.exe" -l0x40c -removeonly
PKR-->"C:\Program Files\PKR\uninstall-pkr.exe"
Realtek AC'97 Audio-->Alcrmv.exe -r -m
Sentinel 2.0-->"C:\Program Files\Runtimeware.com\Sentinel2\unins000.exe"
SiSRaidPackage-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{13D41D72-0284-4931-A261-F86F6565D4B4}\setup.exe" -l0x40c
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
SpywareBlaster 4.2-->"C:\Program Files\SpywareBlaster\unins000.exe"
Sunbelt CounterSpy-->MsiExec.exe /I{0AD5AD99-6172-4385-8765-385FBE3A1013}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Sygate Personal Firewall Pro-->MsiExec.exe /I{3D133CD6-EBDF-4C14-BBB9-5D3AE0BD7C58}
TomTom HOME 2.6.2.1586-->C:\Program Files\TomTom HOME 2\Uninstall TomTom HOME.exe
TomTom HOME Visual Studio Merge Modules-->MsiExec.exe /I{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}
TweakRAM-->C:\Program Files\TweakRAM\Uninstall TweakRAM.exe
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VLC media player 0.9.6-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
xp-AntiSpy 3.97-2-->C:\Program Files\xp-AntiSpy\Uninstall.exe

======Security center information======

AV: Avira AntiVir PersonalEdition Classic
FW: Sygate Personal Firewall Pro

======System event log======

Computer Name: ORDINATEUR
Event Code: 7036
Message: Le service NLA (Network Location Awareness) est entré dans l'état : en cours d'exécution.

Record Number: 1775
Source Name: Service Control Manager
Time Written: 20090429205359.000000+120
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service NLA (Network Location Awareness).

Record Number: 1774
Source Name: Service Control Manager
Time Written: 20090429205359.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: ORDINATEUR
Event Code: 17
Message: AVGNTFLT successfully loaded

Record Number: 1773
Source Name: avgntflt
Time Written: 20090429205347.000000+120
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 1772
Source Name: EventLog
Time Written: 20090429205336.000000+120
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 1771
Source Name: EventLog
Time Written: 20090429205336.000000+120
Event Type: Informations
User:

=====Application event log=====

Computer Name: ORDINATEUR
Event Code: 4096
Message: Le service AntiVir a bien démarré!

Record Number: 1183
Source Name: Avira AntiVir
Time Written: 20090505161715.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: ORDINATEUR
Event Code: 1000
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1182
Source Name: LoadPerf
Time Written: 20090505160411.000000+120
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 3006
Message: Impossible de lire les chaînes du compteur de performance pour l'ID de langue 009.
Le statut Wind32 renvoyé par l'appel est le premier DWORD de la section Données.

Record Number: 1181
Source Name: LoadPerf
Time Written: 20090505160411.000000+120
Event Type: erreur
User:

Computer Name: ORDINATEUR
Event Code: 3011
Message: Le déchargement des chaînes de compteurs de performances pour le service WmiApRpl (WmiApRpl) a échoué. Le
code d'erreur est le premier DWORD de la section Data.

Record Number: 1180
Source Name: LoadPerf
Time Written: 20090505160408.000000+120
Event Type: erreur
User:

Computer Name: ORDINATEUR
Event Code: 1000
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1179
Source Name: LoadPerf
Time Written: 20090505151939.000000+120
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=0401
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"DEVMGR_SHOW_DETAILS"=1

-----------------EOF-----------------
0
Réponse 36 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Nous allons maintenant attendre confirmation de ton mari concernant ComboFix...

En attendant fais ceci stp :

▶ Télécharge CCleaner

▶ Tu auras un tutoriel pour l'installer et l'utiliser correctement.

▶ Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

@+
0
Réponse 37 / 46
tarzie Messages postés 63 Statut Membre 4
 
merci pour votre aide

sa y'est j'ai passer ccleaner

il s'est bien servit de combofix et otmoveit et sdfix en regardant sur un sujet d'un forum

il a aussi un dossier avec clean zip dedans mais celui la il ne la pas passer soit disant
0
Réponse 38 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Ok... Mais ces logiciels ne sont pas à utiliser sans avis et sans raisons...

As-tu d'autres problèmes ??
0
Réponse 39 / 46
tarzie Messages postés 63 Statut Membre 4
 
non je voit pas

ralentissement un peu c'est peut-être avec se qu'il a installer je vais essayer de faire le tri dans tout sa

et trouver se nouveau périphérique détecter après le passage de sithfraudfix je vient de redémarrer et sa réapparait encore

sinon merci pour ton aide si tu pense on avoir fini heureusement que vous ete la pour nous aider

merci
0
Réponse 40 / 46
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Mais de rien, je t'ai aidé avec plaisir ;-)

Fais ceci pour désinstaller ComboFix :

Cliques sur Démarrer => Exécuter => Tape combofix /u et valide avec OK.

Si tu as toujours cette alerte, mets-la dans les exclusions.

Ensuite tu peux faire ceci pour terminer stp :

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

▶ Télécharge Update Checker

▶ Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

▶ Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

▶ Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

Un conseil : n'installe pas les BETA qui sont listées en dessous.

▶ Tu installes les mises à jour que tu désires, les plus importantes sont :

● Java

● Adobe Reader

● Adobe Flash Player

● Internet explorer

Ensuite :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

▶ Télécharge Toolscleaner sur ton Bureau

▶ Double-clique sur ToolsCleaner2.exe et laisse le travailler
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter, pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

Ensuite :

Désactive et réactive la Restauration du système :

Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :

1 Dans la barre des tâches de Windows, clique sur Démarrer.

2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.

3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.

5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires =>

outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom

(exemple : après désinfection sur CCM) puis tu valides.

Tu peux mettre ton problème résolu !! Comment mettre résolu ??

IMPORTANT : lire les quelques liens pour la prévention et la sécurité de votre PC qui se trouvent en bas de la page !!

WOT - Extension pour ton navigateur internet :

Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :

Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

0