System security version 4.51 Résolu

Question

Bonjour,

Depuis 2 jours, notre pc sous vista est infesté par System security version 4.51. Lancement de ce programme toutes les 3 mns nous proposant soit de supprimer de fichiers systeme, soit de payer un service sur Internet. 

A lire le forum de ce site, je me rends compte que nous ne sommes pas les seuls dans cette galère. J'ai appliqué plusieurs des remèdes proposés : aucun ne marche... et pour cause, il est impossible de lancer le moindre .exe à de rares exceptions (tel que internet explorer).

Dernier détail : je ne comprends pas tout à l'informatique !

Merci de votre aide...

Hugo001.

verni29 · Answer

Bonjour,

tu télécharges smitfraudfix  de S!Ri sur ton bureau
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

# Double clique sur l’exécutable. Il va crée un un dossier SmitFraudFix et lancer l’outil.
# tu choisis l' option 1 .

Un  rapport sera crée. 
Copie/colle le rapport dans ton prochain message.

Note : Si tu ne le trouves pas, il est à C:\rapport.txt

Hugo001 · Answer

Téléchargement de smitfraudfix réussi...
Mais impossible de lancer l'executable : en tous cas, il ne se passe rien our presque (une fenêtre s'ouvre une micro-seconde)... pas de rapport sous c:
Hugo

verni29 · Answer

On verra par la suite pour SmitFraudfix.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau. 
http://images.malwareremoval.com/random/RSIT.exe 

# Double-clique sur " RSIT.exe " pour le lancer . 
# dans la fenêtre qui va s’ouvrir choisis  1 month pour l'option "List files/folders created ...". 
# clique ensuite sur " Continue " pour lancer l'analyse ... 

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence. 

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées. 

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier  C:\rsit.

A+

Hugo001 · Answer

Merci de répondre aussi rapidement...
Même problème avec rsit... l'excutable ne lance pas !
Hugo

verni29 · Answer

OK,

On va y aller pas à pas.

Redémarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 à l’allumage du pc sans t’arrêter. 

# Une fenêtre va s’ouvrir. Choisis démarrer en mode sans échec puis tape entrée. 
# Choisis ton compte.
 
Relance le programme Smitfraud, 

# Pour cela, tu vas dans le dossier SmitFraudFix crée sur ton bureau et tu doubles-cliques sur SmitFraudFix.cmd.
# Cette fois choisis l’option 2, répond oui a tous ; 
# Sauvegarde le rapport puis redémarre en mode normal, 

copie/colle le rapport sauvegardé sur le forum.

A+

Hugo001 · Answer

J'ai fait ce que tu m'as dit... mais il était impossible d'ouvrir le fichier rapport en mode normal... 
Je me suis mis en mode sans échec avec réseau pour te le poster...
Le voilà :



SmitFraudFix v2.416

Scan done at 19:18:45,77, 17/05/2009
Run from C:\Users\carodenis\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B872BEBA-1D5A-4E3A-9675-0173D2A44B75}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B872BEBA-1D5A-4E3A-9675-0173D2A44B75}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B872BEBA-1D5A-4E3A-9675-0173D2A44B75}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

verni29 · Answer

OK,

Fais le scan sous Windows. Si l'outil refuse de se lancer , fais l'analyse en mode sans échec ( avec ou sans prise en charge réseau )

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

Le scan dure en moyenne 50 mn.

A+

Hugo001 · Answer

Voilà le rapport....
Hugo

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2145
Windows 6.0.6001 Service Pack 1

17/05/2009 20:16:31
mbam-log-2009-05-17 (20-16-31).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 154873
Temps écoulé: 14 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009 (Rogue.Systemsecurity) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\11604604 (Rogue.Multiple.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\ProgramData\11604604 (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\ProgramData\11604604\11604604.exe (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\ProgramData\11604604\11604604.glu (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\ProgramData\11604604\pc11604604cnf (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\ProgramData\11604604\pc11604604ins (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009 Support.lnk (Rogue.SystemSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009.lnk (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

verni29 · Answer

Recommence la manip  avec RSIT. Cela devrait marcher maintenant.
http://www.commentcamarche.net/forum/affich 12496580 system security version 4 51?#3

A+

Hugo001 · Answer

Voilà le log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by carodenis at 2009-05-17 20:52:16
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 244 GB (80%) free of 305 GB
Total RAM: 2045 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:32, on 17/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\carodenis\Desktop\RSIT.exe
C:\Program Files	rend micro\carodenis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MRT] "C:\Windows\system32\MRT.exe" /R
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O13 - Gopher Prefix: 
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Hugo001 · Answer

et info.txt

info.txt logfile of random's system information tool 1.06 2009-05-17 20:52:33

======Uninstall list======

-->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_BDA1448D3D255554.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Customer Participation Program 8.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Imaging Device Functions 8.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP OCR Software 8.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
HP Photosmart Essential-->MsiExec.exe /X{EB21A812-671B-4D08-B974-2A347F0D8F70}
HP Photosmart.All-In-One Driver Software 8.0 .A-->C:\Program Files\HP\Digital Imaging\{282E5AB2-8E47-4571-B6FA-6B512555B557}\setup\hpzscr01.exe -datfile hposcr18.dat -onestop -showdisconnect -forcereboot
HP Solution Center 8.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}
HPSSupply-->MsiExec.exe /X{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}
In Memoriam-->C:\Ubi Soft\In Memoriam\Desinst.exe
Intel(R) PRO Network Connections 12.1.11.0-->MsiExec.exe /i{777CA40C-0206-4EF6-A0FC-618BF06BF8D0} ARPREMOVE=1
Intel(R) PRO Network Connections 12.1.11.0-->MsiExec.exe /i{777CA40C-0206-4EF6-A0FC-618BF06BF8D0} ARPREMOVE=1
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{6860B340-530D-46B3-91F8-1AE1F70F7C33}
QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: PC-de-carodenis
Event Code: 10005
Message: DCOM a reçu l'erreur "1068" lors de la mise en route du service fdPHost avec les arguments "" pour démarrer le serveur :
{145B4335-FE2A-4927-A040-7C35AD3180EF}
Record Number: 33104
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20090517181758.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-carodenis
Event Code: 10005
Message: DCOM a reçu l'erreur "1084" lors de la mise en route du service WSearch avec les arguments "" pour démarrer le serveur :
{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}
Record Number: 33105
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20090517181801.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-carodenis
Event Code: 10005
Message: DCOM a reçu l'erreur "1084" lors de la mise en route du service WSearch avec les arguments "" pour démarrer le serveur :
{9E175B6D-F52A-11D8-B9A5-505054503030}
Record Number: 33106
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20090517181801.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-carodenis
Event Code: 7001
Message: Le service Explorateur d'ordinateurs dépend du service Serveur qui n'a pas pu démarrer en raison de l'erreur :
Le service ou le groupe de dépendance n'a pas pu démarrer.
Record Number: 33120
Source Name: Service Control Manager
Time Written: 20090517181909.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-carodenis
Event Code: 7026
Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
aswSP
spldr
Wanarpv6
Record Number: 33129
Source Name: Service Control Manager
Time Written: 20090517181909.000000-000
Event Type: Erreur
User:

=====Application event log=====

Computer Name: PC-de-carodenis
Event Code: 6000
Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
Record Number: 4558
Source Name: Microsoft-Windows-Winlogon
Time Written: 20090517181643.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-carodenis
Event Code: 6000
Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
Record Number: 4561
Source Name: Microsoft-Windows-Winlogon
Time Written: 20090517181644.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-carodenis
Event Code: 6000
Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
Record Number: 4566
Source Name: Microsoft-Windows-Winlogon
Time Written: 20090517181749.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-carodenis
Event Code: 4609
Message: Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 8007043c à partir de la ligne 45 de d:\vistasp1_gdr\com\complus\src\events\tier1\eventsystemobj.cpp. Contactez les services de support technique Microsoft pour signaler cette erreur.
Record Number: 4568
Source Name: Microsoft-Windows-EventSystem
Time Written: 20090517181757.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-carodenis
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 4571
Source Name: Microsoft-Windows-WMI
Time Written: 20090517181908.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: PC-de-carodenis
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 7193
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090517185231.696840-000
Event Type: Échec de l'audit
User:

Computer Name: PC-de-carodenis
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 7194
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090517185231.712440-000
Event Type: Échec de l'audit
User:

Computer Name: PC-de-carodenis
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 7195
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090517185231.728040-000
Event Type: Échec de l'audit
User:

Computer Name: PC-de-carodenis
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 7196
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090517185231.743640-000
Event Type: Échec de l'audit
User:

Computer Name: PC-de-carodenis
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 7197
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090517185231.759240-000
Event Type: Échec de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\DMIX;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"SAFEBOOT_OPTION"=NETWORK

-----------------EOF-----------------

verni29 · Answer

Tu pourrais me poster ce rapport, stp.
Il se trouve en C:\avenger.txt .

A+

Hugo001 · Answer

Ci-après avenger.txt
Merci
Hugo

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error:  could not open file "C:\ProgramData\11604604\11604604.exe"
Deletion of file "C:\ProgramData\11604604\11604604.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\11604604\11604604.glu"
Deletion of file "C:\ProgramData\11604604\11604604.glu" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\11604604\pc11604604cnf"
Deletion of file "C:\ProgramData\11604604\pc11604604cnf" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\11604604\pc11604604ins"
Deletion of file "C:\ProgramData\11604604\pc11604604ins" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009 Support.lnk"
Deletion of file "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009 Support.lnk" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009.lnk"
Deletion of file "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009.lnk" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\11604604\11604604.exe"
Deletion of file "C:\ProgramData\11604604\11604604.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\11604604\11604604.glu"
Deletion of file "C:\ProgramData\11604604\11604604.glu" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\11604604\pc11604604cnf"
Deletion of file "C:\ProgramData\11604604\pc11604604cnf" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\11604604\pc11604604ins"
Deletion of file "C:\ProgramData\11604604\pc11604604ins" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009 Support.lnk"
Deletion of file "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009 Support.lnk" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009.lnk"
Deletion of file "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security\System Security 2009.lnk" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "C:\ProgramData\11604604" not found!
Deletion of folder "C:\ProgramData\11604604" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security" not found!
Deletion of folder "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Security" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

verni29 · Answer

Télécharger DirLook . Enregistrer ce fichier sur le Bureau.  :
http://jpshortstuff.247fixes.com/DirLook.exe 

# Faire un double clic sur DirLook.exe pour lancer l'exécution de l'outil. 
# Vérifier que les deux cases situées derrière "Show hidden files/folders:" et "BBCode Output:" sont cochées. 

Sélectionner la ligne ci-dessous : 

C:\_042525_

# Dans la petite fenêtre de DirLook, faire un clic droit dans la zone blanche et choisir Coller. 

Note: les lignes sélectionnées précédemment doivent avoir été recopiées dans la zone blanche de DirLook. 

#Cliquer sur le bouton DirLook pour lancer la recherche. 

Lorsque l'outil a terminé cette recherche, il y a ouverture d'une fenêtre du Bloc-notes. 

# Enregistrer ce fichier affiché dans le Bloc-notes sous le nom DirLook1.txt 
# Fermer le Bloc-notes. Fermer DirLook en cliquant sur le bouton Exit. 

Envoyer en réponse.

Note: ce rapport se trouve aussi à la racine du disque système (dl_log.txt)

A+

Hugo001 · Answer

Je lance dirlook... une fenêtre apparait où on me demande d'appuyer sur une touche... je le fais et après : rien !
Hugo

verni29 · Answer

Tu peux réessayer en faisant un click droit sur Dirlook.exe et choisis exécuter en tant qu'administrateur.

A+

Hugo001 · Answer

Je retranscris le message de cette fenêtre :

"This tool has been deprecated in favour of systemlook.
La phrase suivante, je te l'a fais en français, je la comprends (!) : Si tu es conseillé par un forum d'aide, merci de les informer. Sinon, passes une bonne journée ;)
Appuyer sur une touche pour continuer..."

verni29 · Answer

OK,
L'outil n'est plus développé.

Utilise celui-ci.

Télécharge SystemLook sur ton Bureau à partir d'un des liens ci-dessous.
http://jpshortstuff.247fixes.com/SystemLook.exe
ou http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

* Double-clique sur SystemLook.exe pour le lancer.
Si sous vista : click droit</gras> -->
* Clic droit|Copier le chemin indiqué ci-dessous et clic droit|Coller dans la zone texte de SystemLook :

Chemin : C:\_042525_

* Clique sur le bouton Look pour démarrer l'examen.
* A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

A+

Hugo001 · Answer

SystemLook v1.0 by jpshortstuff (24.04.09)
Log created at 21:29 on 17/05/2009 by carodenis (Administrator - Elevation successful)

No Context: C:\_042525_ 

-=End Of File=-

Voilà le rapport...
Hugo

verni29 · Answer

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTMoveIt3.exe

# Double-clique sur OTMoveIt.exe pour le lancer. 
# Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous  Paste Instructions for Items to be Moved. 

:Files
C:\_042525_
C:\ea854a81c396d6332489ad
C:\de67403ceb103afea4df265b78eed8
 C:\615d65d4f3c10c4a76ba 
C:\Windows\system32	mp.txt 

# clique sur MoveIt! pour lancer la suppression. 
# Le résultat apparaitra dans le cadre "Results". 
# Copie/colle le résultat dans ton prochain message.

le rapport ( fichier .log ) est également situé dans C:\_OTMoveIt\MovedFiles.

A+

Hugo001 · Answer

Voilà la réponse :

========== FILES ==========
C:\_042525_ moved successfully.
C:\ea854a81c396d6332489ad moved successfully.
C:\de67403ceb103afea4df265b78eed8 moved successfully.
C:\615d65d4f3c10c4a76ba moved successfully.
C:\Windows\system32	mp.txt moved successfully.
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05172009_222457

A+

verni29 · Answer

Dernière vérification : 

Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

# Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
# Il te sera demandé d'installer un logiciel de Kaspersky, accepte.
# A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.

tuto à lire pour vérifier les réglages des activeX : 
https://forum.pcastuces.com/default.asp

A+

Hugo001 · Answer

L'analyse vient de se terminer... A priori, pas de fichier infecté.
Mais aucune trace de rapport !

Par ailleurs, j'avais une question : Kasperski ne risque t'il pas de poser problème avec avast, mon anti-virus installé ? Pour lancer le scan en ligne, je l'ai désactivé.
Faut-il le réactiver ou passer sur Kasperski ? 

Je te laisse... vais me coucher...

à plus... 
et surtout merci !!!
Hugo.

verni29 · Answer

Pour répondre à ta question, Non, Ce n'est pas du tout la même chose un antivirus installé sur ton PC et un scan en ligne. Pas de problème mais réactive ton antivirus.

Poste moi un dernier rapport RSIT.
L'exécutable est sur ton bureau.
Tu me fais l'analyse sous Windows ( il n'y aura qu'un seul rapport )

A+

Hugo001 · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by carodenis at 2009-05-18 09:08:51
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 242 GB (79%) free of 305 GB
Total RAM: 2045 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:09:04, on 18/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Readereader_sl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Users\carodenis\Desktop\RSIT.exe
C:\Program Files	rend micro\carodenis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O13 - Gopher Prefix: 
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

verni29 · Answer

1/ Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime 
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe 
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 

Tu choisis l'option " Fixchecked" en bas de la page.

2/ Mets à jour ton PC . Vérifie pour java et Adobe.

--> Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun .

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée. Poste-le.

--> Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/

Après, on termine.

A+

hugo001 · Answer

Ok...
impossible de trouver le rapport de javara...
Hugo

verni29 · Answer

Regarde en C:\JavaRa.log.

A+

hugo001 · Answer

Pas de trace d'un rapport javara.log sous c:

verni29 · Answer

1/ On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

2/ Tu vas utiliser CCleaner.
https://www.commentcamarche.net/telecharger/ 168 ccleaner

utilise les fonctions nettoyeur et registre.

3) Il est préférable maintenant que ton PC est propre de nettoyer la restauration système et de créer un point propre pour une utilisation ultérieure.

Les points de restauration :

- Panneau de configuration --> Système --> Restauration du système

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

--------------------------------------------------------------------------------------------------------

Ton PC est propre.
Tu as été infecté par un rogue ( faux antivirus ou antispyware )

Une lecture : projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

---------------------------------------------------------------------------------------------------------

/!\ Tu peux aussi dénoncer ton infection /!\
http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10

Lis l'article suivant pour t'aider dans la démarche : http://www.malekal.com/malwarecomplaints.html
Pour ton cas, choisis Autres infections et précise ensuite que l'infection Rogue System Security.

-----------------------------------------------------------------------------------------------------------

En te souhaitant bonne lecture et bon surf.

Salut.

hugo001 · Answer

Un grand merci à toi...
J'ai enregistré l'infection sur le forum...
Hugo

verni29 · Answer

Merci à toi aussi pour l'inscription sur MalwareComplaints.

Salut.

rrrrh · Answer

meme probleme pas de solution apparement...
si vous merepondez un nouveau truc je l'essaireai mais je pense ke je v finir par reformater...
merci de repondre...

et idem je suis pas très callé en informatique...

System security version 4.51

33 réponses

Discussions similaires

Newsletters