Rootkit - au secours

Résolu
delphine -  
 gen-hackman -
Bonjour,
avant tout je suis démunie face à l'informatique.
j'ai un anti rootkit (AVG free) qui m'indique après recherche 5 items trouvés :
C:\WINDOWS\system32\drivers\gxvxcgbguswfflaecnnfljbnyuxquwjamijru.sys,Hidden driver file
c:\WINDOWS\system32\drivers\gxvxcgbguswfflaecnnfljbnyuxquwjamijru.sys,Hidden File
c:\WINDOWS\system32\drivers\gxvxcixddwfhsaruootkvvpppmiyksigufrdg.sys,Hidden File
c:\WINDOWS\system32\gxvxccounter,Hidden File
c:\WINDOWS\system32\gxvxckqjpccufonkokbclayvrrqtvhpxparca.dll,Hidden File

est ce grave docteur ?
faut il "delete" tout cela en sachant que je ne sais pas exactement les enjeux ni les risques

merci de votre aide
Configuration: Windows XP Internet Explorer 7.0

33 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Telecharge malwarebytes
    https://www.malwarebytes.com/

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log
    1
    1. delphine
       
      voici le rapport que tu as demandé


      Malwarebytes' Anti-Malware 1.36
      Version de la base de données: 2164
      Windows 5.1.2600 Service Pack 2

      21/05/2009 23:47:27
      mbam-log-2009-05-21 (23-47-08).txt

      Type de recherche: Examen rapide
      Eléments examinés: 102848
      Temps écoulé: 6 minute(s), 35 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 4
      Valeur(s) du Registre infectée(s): 8
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntivirus) -> No action taken.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dnlsvc (Rootkit.Agent) -> No action taken.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect (Trojan.Agent) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> No action taken.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DriverLoad (Trojan.Clicker) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DriverCheck (Trojan.Clicker) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\SystemDriverLoad (Trojan.Clicker) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost (Trojan.Clicker) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost1 (Trojan.Clicker) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost2 (Trojan.Clicker) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost3 (Trojan.Clicker) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost4 (Trojan.Clicker) -> No action taken.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  2. gen-hackman
     
    bonjour à tous

    Salut Cédric : Logfile of HijackThis v1.99.1
    1
  3. Utilisateur anonyme
     
    Salut ,

    Oui supprime . ensuite :

    Télécharge random's system information tool (RSIT) et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt
    0
  4. delphine
     
    merci
    je regarde de suite et je reviens
    0
    1. delphine
       
      voici le loghikackthis


      Scan saved at 22:50:21, on 21/05/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16827)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\a-squared Free\a2service.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\system32\PnkBstrA.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Sony\vaio media music server\SSSvr.exe
      C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
      C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
      C:\Program Files\Sony\giga pocket\GPVSvr.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
      C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
      C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
      C:\WINDOWS\System32\ezSP_Px.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      D:\media player\Media Player.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Microsoft Office\Office\OSA.EXE
      C:\Program Files\Sony\giga pocket\GPL_R.exe
      C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
      C:\Program Files\Sony\giga pocket\USBsircs.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\sony\giga pocket\gps.exe
      C:\WINDOWS\system32\wuauclt.exe
      D:\export\NetTransport 2\NetTransport.exe
      C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
      O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\export\NetTransport 2\NTIEHelper.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
      O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKCU\..\Run: [OrangePlayer] d:\media player\Media Player.exe /systray
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
      O4 - Global Startup: Gestionnaire d'enregistrements programmés.lnk = C:\Program Files\Sony\giga pocket\GPL_R.exe
      O4 - Global Startup: Gestionnaire Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
      O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
      O4 - Global Startup: Pilote Remocon Giga Pocket.lnk = C:\Program Files\Sony\giga pocket\USBsircs.exe
      O8 - Extra context menu item: &Télécharger avec NetTransport - D:\export\NetTransport 2\NTAddLink.html
      O8 - Extra context menu item: Tout t&élécharger avec NetTransport - D:\export\NetTransport 2\NTAddList.html
      O15 - Trusted Zone: *.sony-europe.com
      O15 - Trusted Zone: *.sonystyle-europe.com
      O15 - Trusted Zone: *.vaio-link.com
      O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
      O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1241559818860&h=9841b92c159fb64ca1d9dea324261c49/&filename=jinstall-6u13-windows-i586-jc.cab
      O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
      O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\dnlsvc.exe (file missing)
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
      O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Program Files\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
      O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
      O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
      O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
      O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
      O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
      O23 - Service: VAIO Media Video Server (Application) (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Program Files\Sony\giga pocket\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (Application) (file missing)
      O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)
      O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    RE Delphine ,

    • Télécharge et install UsbFix

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    • Double clic sur le raccourci UsbFix présent sur ton bureau .

    • Choisis l'option 1 ( Recherche )

    • Laisse travailler l'outil.

    • Ensuite post le rapport UsbFix.txt qui apparaitra.

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    • Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    • Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    0
    1. delphine
       
      voici le document demandé


      ############################## [ UsbFix V3.024 # Scan ]

      # User : Christophe (Administrateurs) # DELPHINE
      # Update on 21/05/09 by Chiquitine29, C_XX & Chimay8
      # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
      # Start at: 23:06:41 | 21/05/2009

      #
      #
      # Internet Explorer 7.0.5730.11
      # Windows Firewall Status : Enabled
      # AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]



      ############################## [ Processus actifs ]

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\a-squared Free\a2service.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\system32\PnkBstrA.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Sony\vaio media music server\SSSvr.exe
      C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
      C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
      C:\Program Files\Sony\giga pocket\GPVSvr.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
      C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
      C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\System32\ezSP_Px.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      D:\media player\Media Player.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Microsoft Office\Office\OSA.EXE
      C:\Program Files\Sony\giga pocket\GPL_R.exe
      C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
      C:\Program Files\Sony\giga pocket\USBsircs.exe
      C:\Program Files\sony\giga pocket\gps.exe
      D:\export\NetTransport 2\NetTransport.exe

      ################## [ Registre # Startup ]

      HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      HKCU_Main: "Search Page"="https://www.google.com/?gws_rd=ssl"
      HKCU_Main: "Start Page"="https://www.orange.fr/portail"
      HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      HKLM_logon: "DefaultUserName"="Christophe"
      HKLM_logon: "AltDefaultUserName"="Christophe"
      HKLM_logon: "LegalNoticeCaption"=""
      HKLM_logon: "LegalNoticeText"=""
      HKLM_Run: ezShieldProtector for Px=C:\WINDOWS\System32\ezSP_Px.exe
      HKLM_Run: ccRegVfy="C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      HKLM_Run: Symantec NetDriver Monitor=C:\PROGRA~1\SYMNET~1\SNDMon.exe
      HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
      HKLM_Run: EoEngine=
      HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      HKCU_Run: OrangePlayer=d:\media player\Media Player.exe /systray
      HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

      ################## [ Fichiers # Dossiers infectieux ]

      C:\autorun.inf # -> fichier appelé : "C:\"RECYCLER\S-1-2-61-100011631-100005952-100006726-2640.com c:\"" ( absent ! )
      Found ! C:\autorun.inf
      Found ! C:\recycler\S-0-1-15-100004294-100018134-100021755-5062.com
      D:\autorun.inf # -> fichier appelé : "D:\"RECYCLER\S-1-2-61-100011631-100005952-100006726-2640.com d:\"" ( absent ! )
      Found ! D:\autorun.inf
      Found ! D:\recycler\S-0-0-35-100016469-100025354-100013290-1566.com
      Found ! D:\recycler\S-0-1-15-100004294-100018134-100021755-5062.com
      Found ! D:\recycler\S-4-1-53-100027610-100026894-100027717-4016.com
      Found ! D:\recycler\S-4-9-35-100030977-100015017-100001620-5222.com

      ################## [ Registre # Clés Run infectieuses ]


      ################## [ Registre # Mountpoints2 ]

      HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
      HKCU\...\Explorer\MountPoints2\{d6c99fac-f3ed-11da-bf14-000e503a7fc1}\Shell\AutoRun\Command
      HKCU\...\Explorer\MountPoints2\{d6c99fac-f3ed-11da-bf14-000e503a7fc1}\Shell\open\Command

      ################## [ Informations ]


      ################## [ Cracks / Keygens / Serials ]

      # -> Nothing found !

      ################## [ ! Fin du rapport # UsbFix V3.024 ! ]
      0
  7. Utilisateur anonyme
     
    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    • Double clic sur le raccourci UsbFix présent sur ton bureau

    • choisis l'option 2 ( Suppression )

    • Ton bureau disparaitra et le pc redémarrera .

    • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    • Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  8. delphine
     
    et voila
    pour information, les antivirus ont tourné au rouge durant l'excécution du programme

    ############################## [ UsbFix V3.024 # Cleaning ]

    # User : Christophe (Administrateurs) # DELPHINE
    # Update on 21/05/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 23:19:01 | 21/05/2009

    #
    #
    # Internet Explorer 7.0.5730.11
    # Windows Firewall Status : Enabled
    # AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sony\vaio media music server\SSSvr.exe
    C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
    C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
    C:\Program Files\Sony\giga pocket\GPVSvr.exe
    C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
    C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
    C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
    C:\WINDOWS\System32\alg.exe

    ################## [ Fichiers # Dossiers infectieux ]

    C:\autorun.inf # -> fichier appelé : "C:\"RECYCLER\S-1-2-61-100011631-100005952-100006726-2640.com c:\"" ( absent ! )
    Deleted ! C:\autorun.inf
    Deleted ! C:\recycler\S-0-1-15-100004294-100018134-100021755-5062.com
    D:\autorun.inf # -> fichier appelé : "D:\"RECYCLER\S-1-2-61-100011631-100005952-100006726-2640.com d:\"" ( absent ! )
    Deleted ! D:\autorun.inf
    Deleted ! D:\recycler\S-0-0-35-100016469-100025354-100013290-1566.com
    Deleted ! D:\recycler\S-0-1-15-100004294-100018134-100021755-5062.com
    Deleted ! D:\recycler\S-4-1-53-100027610-100026894-100027717-4016.com
    Deleted ! D:\recycler\S-4-9-35-100030977-100015017-100001620-5222.com

    ################## [ Registre # Clés Run infectieuses ]

    ################## [ Registre # Mountpoints2 ]

    Deleted ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
    Deleted ! HKCU\...\Explorer\MountPoints2\{d6c99fac-f3ed-11da-bf14-000e503a7fc1}\Shell\AutoRun\Command

    ################## [ Listing des fichiers présent ]

    [28/04/2003 19:18|--a------|0] - C:\AUTOEXEC.BAT
    [07/11/2004 13:05|-rahs----|216] - C:\boot.ini
    [30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
    [28/04/2003 19:18|--a------|0] - C:\CONFIG.SYS
    [17/06/2007 19:51|--a------|254] - C:\CountCyclesWMVDecLog.txt
    [18/03/2007 13:51|--ah-----|5089] - C:\ffastun.ffa
    [18/03/2007 13:51|--ah-----|2351104] - C:\ffastun.ffl
    [18/03/2007 13:51|--ah-----|651264] - C:\ffastun.ffo
    [18/03/2007 13:51|--ah-----|4542464] - C:\ffastun0.ffx
    [18/03/2007 15:52|--a------|2351104] - C:\ffastunT.ffl
    [?|?|?] - C:\hiberfil.sys
    [01/09/2006 21:11|--a------|1120] - C:\INSTALL.LOG
    [28/04/2003 19:18|-rahs----|0] - C:\IO.SYS
    [28/04/2003 19:18|-rahs----|0] - C:\MSDOS.SYS
    [23/07/2006 22:10|--ah-----|16] - C:\mxfilerelatedcache.mxc2
    [07/11/2004 12:59|-rahs----|47564] - C:\NTDETECT.COM
    [07/11/2004 12:59|-rahs----|251712] - C:\ntldr
    [08/04/1997 09:27|--a------|490096] - C:\oadist.exe
    [?|?|?] - C:\pagefile.sys
    [07/01/2006 13:14|--a------|1484] - C:\PPCleanDeleteAtReboot.bat
    [24/03/2004 01:06|--a------|279] - C:\Raccourci vers VAIO (D).lnk
    [02/01/2006 22:59|--a------|746] - C:\rapport.txt
    [18/03/1998 11:19|--a------|8021] - C:\ReadMe.txt
    [30/12/1997 15:11|--a------|837632] - C:\RegClean.exe
    [20/05/2008 22:25|--a------|549] - C:\Traduction.tra
    [24/05/2001 12:59|--a------|162304] - C:\UNWISE.EXE
    [21/03/2006 01:43|--a------|372519] - C:\urls.txt
    [21/05/2009 23:23|--a------|4404] - C:\UsbFix.txt
    [02/05/2004 21:18|--a------|13] - C:\win.log
    [02/05/2004 21:41|--a------|16] - C:\win2.log
    [10/12/2007 07:33|--a------|61440] - D:\AASM Remote Control.dll
    [24/01/2008 19:41|--a------|15451396] - D:\AASM17Installer.exe
    [18/03/2003 19:05|--a------|89088] - D:\atl71.dll
    [02/11/2006 01:46|--a------|454656] - D:\comdlg32.dll
    [07/12/2007 10:16|--a------|10512] - D:\ConfigurationTemplate.ini
    [19/09/2004 00:18|--ah-----|4379] - D:\ffastun.ffa
    [19/09/2004 00:18|--ah-----|24576] - D:\ffastun.ffl
    [19/09/2004 00:18|--ah-----|16384] - D:\ffastun.ffo
    [19/09/2004 00:18|--ah-----|24576] - D:\ffastun0.ffx
    [19/09/2004 23:04|--a------|0] - D:\ffastunT.ffl
    [02/05/2005 09:37|--a------|1338331] - D:\Getting Started With AA Server Manager.pdf
    [13/02/2005 08:09|--a------|309788] - D:\Getting Started With the AASM Remote Control Utility.pdf
    [03/05/2004 07:06|--a------|221184] - D:\libcurl.dll
    [16/10/2007 17:37|--a------|827392] - D:\libeay32.dll
    [23/07/2006 22:09|--ah-----|16] - D:\mxfilerelatedcache.mxc2
    [02/11/2006 01:46|--a------|101888] - D:\oledlg.dll
    [02/11/2006 01:46|--a------|12288] - D:\PSAPI.DLL
    [30/07/2008 23:53|--a------|24576] - D:\SGPMount.EXE
    [30/07/2008 23:53|--a------|4096] - D:\SGPXLib.sdb
    [16/10/2007 17:38|--a------|159744] - D:\SSLeay32.dll
    [17/11/2003 22:29|--a------|55808] - D:\zlib1.dll

    ################## [ Vaccination ]

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## [ Informations ]

    ################## [ Cracks / Keygens / Serials ]

    # -> Nothing found !

    ################## [ ! Fin du rapport # UsbFix V3.024 ! ]
    0
  9. Utilisateur anonyme
     
    tu as cliqué sur "supprimer la selection" ? si oui tu as le rapport qui le confirme ?
    0
  10. delphine
     
    j'ai peut être sauvé le rapport avant, mais les objects suprimés se trouvent en quarantaine. comment editer un nouveau rapport ?

    merci de toute ton aide (et de ta patience)
    0
  11. Utilisateur anonyme
     
    réouvre malewarebyte' , va dans l onglet rapport\log
    0
  12. delphine
     
    voici le rapport de confirmation

    Malwarebytes' Anti-Malware 1.36
    Version de la base de données: 2164
    Windows 5.1.2600 Service Pack 2

    21/05/2009 23:47:40
    mbam-log-2009-05-21 (23-47-40).txt

    Type de recherche: Examen rapide
    Eléments examinés: 102848
    Temps écoulé: 6 minute(s), 35 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 4
    Valeur(s) du Registre infectée(s): 8
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dnlsvc (Rootkit.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DriverLoad (Trojan.Clicker) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DriverCheck (Trojan.Clicker) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\SystemDriverLoad (Trojan.Clicker) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost (Trojan.Clicker) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost1 (Trojan.Clicker) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost2 (Trojan.Clicker) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost3 (Trojan.Clicker) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost4 (Trojan.Clicker) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  13. Utilisateur anonyme
     
    réouvre malewarebytes , va sur quarantaine et supprime tout .

    tu as des traces de Norton :

    pour désinstaller norton proprement telecharge cet outil

    http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20050414110429924?OpenDocument&seg=hm&lg=fr&ct=fr

    ensuite refais un scan hijackthis et post le rapport stp
    0
  14. delphine
     
    voici le dernier rapport

    Faut il charger une version + récente de hijackThis ?

    Logfile of HijackThis v1.99.1
    Scan saved at 00:34:56, on 22/05/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sony\vaio media music server\SSSvr.exe
    C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
    C:\Program Files\Sony\giga pocket\GPVSvr.exe
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    D:\media player\Media Player.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
    C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
    C:\Program Files\Sony\giga pocket\GPL_R.exe
    C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
    C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
    C:\Program Files\Sony\giga pocket\USBsircs.exe
    C:\Program Files\sony\giga pocket\gps.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\export\NetTransport 2\NetTransport.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\export\NetTransport 2\NTIEHelper.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [OrangePlayer] d:\media player\Media Player.exe /systray
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Gestionnaire d'enregistrements programmés.lnk = C:\Program Files\Sony\giga pocket\GPL_R.exe
    O4 - Global Startup: Gestionnaire Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
    O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Pilote Remocon Giga Pocket.lnk = C:\Program Files\Sony\giga pocket\USBsircs.exe
    O8 - Extra context menu item: &Télécharger avec NetTransport - D:\export\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Tout t&élécharger avec NetTransport - D:\export\NetTransport 2\NTAddList.html
    O15 - Trusted Zone: *.sony-europe.com
    O15 - Trusted Zone: *.sonystyle-europe.com
    O15 - Trusted Zone: *.vaio-link.com
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1241559818860&h=9841b92c159fb64ca1d9dea324261c49/&filename=jinstall-6u13-windows-i586-jc.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
    O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Program Files\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
    O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
    O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
    O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
    O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
    O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
    O23 - Service: VAIO Media Video Server (Application) (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Program Files\Sony\giga pocket\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (Application) (file missing)
    O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)
    O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
    0
  15. Utilisateur anonyme
     
    Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

    Double clic sur Toolbar S&D.exe

    Tape sur "2" puis valide en appuyant sur "Entrée".

    ! Ne ferme pas la fenêtre lors de la suppression !

    Un rapport sera généré, poste son contenu ici.

    NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
    Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
    Tape explorer puis valide.

    #################"

    → Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

    → Double clique sur ToolsCleaner2.exe
    → Clique sur .Recherche
    → puis sur Suppression quand la liste est trouvée.
    → Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

    CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
    Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

    Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

    ##########################

    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

    Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

    0
  16. delphine
     
    voici le 1er rapport toolbar.

    -----------\\ ToolBar S&D 1.2.8 XP/Vista

    ( : )
    USER : Christophe ( Administrator )
    Antivirus : AntiVir Desktop 9.0.1.26 (Activated)

    "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
    Option : [2] ( 22/05/2009| 0:45 )

    -----------\\ SUPPRESSION

    Supprime! - [Service] ASKUpgrade
    Supprime! - C:\Program Files\AskBarDis\bar
    Supprime! - C:\Program Files\AskBarDis\unins000.dat
    Supprime! - C:\Program Files\AskBarDis\unins000.exe
    Supprime! - C:\Program Files\AskBarDis

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (Christophe) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Search Page"="https://www.google.com/?gws_rd=ssl"
    "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
    "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
    "Start Page"="https://www.orange.fr/portail"
    "Url"="http://www.microsoft.com/athome/community/rss.xml"
    "Url"="http://www.microsoft.com/atwork/community/rss.xml"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
    "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Start Page"="https://www.msn.com/fr-fr/"

    --------------------\\ Recherche d'autres infections

    C:\WINDOWS\system32\2111_up.exe
    [b]==> SASSER <==/b

    1 - "C:\ToolBar SD\TB_1.txt" - 22/05/2009| 0:47 - Option : [2]

    -----------\\ Fin du rapport a 0:47:25,84
    0
  17. delphine
     
    et le rapport 2
    [ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\TB.txt: trouvé !
    C:\UsbFix.txt: trouvé !
    C:\Toolbar SD: trouvé !
    C:\UsbFix: trouvé !
    C:\Rsit: trouvé !
    C:\Documents and Settings\Christophe\Menu Démarrer\Programmes\UsbFix: trouvé !
    C:\Documents and Settings\Christophe\Mes documents\Mes fichiers reçus\SmitFraudfix: trouvé !
    C:\Documents and Settings\Christophe\Mes documents\Mes fichiers reçus\Smitfraudfix\SmitFraudfix: trouvé !
    C:\Program Files\Hijackthis Version Française\hijackthis.log: trouvé !
    0
  18. delphine
     
    Voila, j'ai aussi procédé à la purge de la restauration

    Je n'ai pas tout compris mais j'espère que le ménage est fait.

    Merci bcp pour toute ton aide
    0
  19. Utilisateur anonyme
     
    re ,

    IL Rest de des details :

    • Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    • Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    • Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "L" et tape sur [entrée] .

    • Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

    0
  20. delphine
     
    Bonsoir Chiquitine,
    ci-joint le rapport AD remover

    Encore merci de toute ton aide

    ------- LOGFILE OF AD-REMOVER 1.1.4.2 | ONLY XP/VISTA -------

    Updated By C_XX On 22/05/2009 At 10:00
    Contact: AdRemover.contact@gmail.com
    WebSite: http://pagesperso-orange.fr/NosTools/ad_remover.html

    Started At: 21:41:14, 22/05/2009 | Normal boot
    Executed From: C:\Program Files\Ad-remover\
    Operating System: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
    Computer Name: DELPHINE
    Current User: Christophe - Administrator

    .
    ============== ELEMENTS REMOVED ==============
    .
    .
    HKCU\Software\EoRezo
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoengine
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
    HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
    .
    C:\Documents and Settings\Christophe\Application Data\EoRezo\cache
    C:\Documents and Settings\Christophe\Application Data\EoRezo\cmhost.cyp
    C:\Documents and Settings\Christophe\Application Data\EoRezo\ConfMedia.cyp
    C:\Documents and Settings\Christophe\Application Data\EoRezo\db
    C:\Documents and Settings\Christophe\Application Data\EoRezo\eoDesktop
    C:\Documents and Settings\Christophe\Application Data\EoRezo\eoStats
    C:\Documents and Settings\Christophe\Application Data\EoRezo\host.cyp
    C:\Documents and Settings\Christophe\Application Data\EoRezo\user.cyp
    C:\Documents and Settings\Christophe\Application Data\EoRezo\eoDesktop\config.xml
    C:\Documents and Settings\Christophe\Application Data\EoRezo\eoDesktop\eoDesktop.html
    C:\Documents and Settings\Christophe\Application Data\EoRezo\eoDesktop\userConfig.xml
    C:\Documents and Settings\Christophe\Application Data\EoRezo\eoStats\eoStats.txt
    C:\Documents and Settings\Christophe\Application Data\EoRezo
    C:\Documents and Settings\Delphine\Cookies\delphine@eorezo[1].txt
    C:\Documents and Settings\Juliette\Cookies\juliette@eorezo[1].txt

    (!) -- Temp files deleted.

    .
    +-----------------| Added Scan:
    .
    .
    .

    ---- Internet Explorer Version 7.0.5730.11 ----

    [HKEY_CURRENT_USER\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Search Page: hxxp://www.google.com
    Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

    Tabs: hxxp://ieframe.dll/tabswelcome.htm

    =========== Suspect (Cracks, Serials ... ) ==========

    .
    C:\Documents and Settings\Christophe\Mes documents\Mes fichiers re‡us\VAIO\PowerDVDXP_4003030_UpdatePatch.exe
    [5591040 Octet(s)|--a------|28/05/2006 13:57|HashMD5: 456fd83c17454752f5f5c820ff557d08 |CRC32: 7c0b6489]

    C:\Documents and Settings\Christophe\Mes documents\My eBooks\maxpayne1-05patch.exe
    [5116202 Octet(s)|--a------|28/12/2003 00:22|HashMD5: 76de6fad3bc50b977eb8b58acd5de5c6 |CRC32: 81ec088c]

    +---------------------------------------------------------------------------+

    16 File(s) - C:\Program Files\Ad-remover\BACKUP
    11 File(s) - C:\Program Files\Ad-remover\QUARANTINE

    End at: 21:51:58 | 22/05/2009
    .
    +-----------------| E.O.F
    .
    0
  • 1
  • 2