Il change mn fd d'écran et ouvre des page net Résolu

Question

Bonjour,
Récemment j'ai installé Msn ( dernière version ) , un des mes contact m'a soudainement envoyé lien facebook avec mon adresse e-mail dedans et tt , biensur comme une *** j'ai cliqué dessus , ça m'a ouvert une page facebook et c'est a partir de la que mon ordi buguait , bon je désinstalle msn tout va bien . Et puis récemment j"démarre mon ordi , et puis ça me charge un antivirus balourd et ça dit qu'il y a 38 infections ,sur mon ordi ,ensuite les fond d'écran change , ça me marque "Warning , you are in danger ..." en rouge avec 3 paragraphes en anglais '--  , ensuite ça me charge des pages internet (1 tt les 2 min) , j'ai téléchargé msnfix via une cle usb , ça ne marche pas , msnfix dit avoir trouvé une infection et que je dois redémarrer , arrivé a la page d'accueil ça me marque "error , error ,error ..." . J'ai désinstaller mon antivirus (avast 4.8 ) de mon ordi et j'ai téléchargé Antivir , c'est nikel ,j'arrive a faire des scan le problème maintenant c'est que je n'arrive pas a aller jusqu'a la fin des scan , le virus fait éteindre l"ordinateur avant même que mon Antivir ai fini son boulot , voilà si quelqu'un peut m'aider a résoudre le problème pour enlever ce virus ou pour que l'ordinateur ne se rédémarre avant la fin du scan . Je précise aussi que ce message est posté via mon autre ordinateur , et que l'ordinateur infecté est un ordinateur portable .

Utilisateur anonyme · Answer

Bonjour

As tu essayé de faire cette analyse en mode sans échec?

LabsGlawd · Answer

lu ,
nan je n'ai pas essayé , si tu as Antivir , ça serait sympas de m'indiquer les manoeuvres à faire pour scan en mode ss échec .

V-X · Answer

Salut,

Fait ce qui suit;

&#x25B6 Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.

&#x25B6 Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6 Clique sur ' continue ' à l'écran Disclaimer.

&#x25B6 Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6 Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports séparément.
( log.txt & info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

LabsGlawd · Answer

Hi!
Y a t-il besoin que je désinstalle Antivir pour cette action ?

sKe69 · Answer

Salut,


infecter par un rougue et par un ver MSN .... Aucun antivirus ne pour faire quoi que se soit de concrès ...

Faut nettoyger autrement ...


commence faire faire ceci pour je puisse voire ce qui se passe exactement :


1- Télécharge et installe le logiciel HijackThis : 

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne lance pas ce prg pour l'instant et fais la suite ... )



2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable  sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ... 
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ... 
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

V-X · Answer

Re,

Non pas besoin de désactiver ton antivirus.

++

LabsGlawd · Answer

ok , j'essaye ;)

LabsGlawd · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by PORTABLE at 2009-05-24 10:30:27
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 3 GB (22%) free of 15 GB
Total RAM: 190 MB (21% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:31:23, on 24/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Documents and Settings\All Users\Application Data\17353324\17353324.exe
C:\Documents and Settings\All Users\Application Data\97363316\97363316.exe
C:\WINDOWS\system32\ehsg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\logon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32
umcz.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system\mysmas.exe
C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\WCIYICBX\RSIT[1].exe
C:\Program Files\Trend Micro\HijackThis\PORTABLE.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://netfreesearch.com/cat/weight%20loss
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe asqe.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UIUCU] C:\DOCUME~1\PORTABLE\LOCALS~1\Temp\UIUCU.EXE -CLEAN_UP
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [17353324] C:\Documents and Settings\All Users\Application Data\17353324\17353324.exe
O4 - HKLM\..\Run: [97363316] C:\Documents and Settings\All Users\Application Data\97363316\97363316.exe
O4 - HKLM\..\Run: [fxkvqihr] C:\WINDOWS\system32\elvmyr.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\logon.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\system32\ehsg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PORTABLE] C:\Documents and Settings\PORTABLE\PORTABLE.exe /i
O4 - HKCU\..\Run: [fxkvqihr] C:\WINDOWS\system32\elvmyr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: MYS Mutex Algorithm Service - Unknown owner - C:\WINDOWS\system\mysmas.exe

V-X · Answer

Re,

Très infecter:

&#x25B6 Installe - Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31)

&#x25B6 Option:1 => Recherche:

&#x25B6  Double cliquer sur SmitfraudFix.exe
    
&#x25B6 Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

&#x25B6 un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

&#x25B6 C:\rapport.txt et colle le rapport génèrer sur le forum.

&#x25B6 Ne pas faire l'option 2 sans un avis d'une personne compétente*<=

Tutoriel Smitfraudix

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

LabsGlawd · Answer

j'ai eu un petit problème , avant que je poste le deuxième scan l'ordinateur s'est rédémarré ...

LabsGlawd · Answer

t'as besoin du deuxième scan?

V-X · Answer

Re,

de quel scan me parle tu ?

LabsGlawd · Answer

Ske69 m'a demandé de poster 2 scan , j'ai réussi a en posté un mais avant de posté le 2ème mon ordi s'est éteint , as tu besoin du 2ème?

V-X · Answer

Re,

Fait smithfraudfix. =>http://www.commentcamarche.net/forum/affich 12584921 il change mn fd d ecran et ouvre des page net?#9

++

LabsGlawd · Answer

ok.

LabsGlawd · Answer

mon scan est fini , il s'est ouvert en bloc note mais la connection internet est impossible '--

V-X · Answer

Re,

Poste moi le rapport de Smithfraudfix.

++

LabsGlawd · Answer

Si je n'ai pas accès a internet de mon ordinateur portable je n'y arriverai pas .

V-X · Answer

Re,

Colle le rapport sur clé usb et poste moi le rapport .

LabsGlawd · Answer

SmitFraudFix v2.417

Rapport fait à 11:08:24,74, 24/05/2009
Executé à partir de C:\Documents and Settings\PORTABLE\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system\mysmas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system\mysmas.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PORTABLE


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PORTABLE\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PORTABLE\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PORTABLE\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C125062D-8B97-4564-890B-C2278711B14A}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C125062D-8B97-4564-890B-C2278711B14A}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0E83D666-4C2C-4818-9578-3FCEADE59599}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C125062D-8B97-4564-890B-C2278711B14A}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

V-X · Answer

Re,

OK.

---> Télécharge OTM (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :

:processes
explorer.exe

:files
c:\documents and settings\all users\application data\17353324\17353324.exe
c:\documents and settings\all users\application data\97363316\97363316.exe
c:\windows\system32\logon.exe
c:\windows\system\mysmas.exe
c:\documents and settings\portable\locals~1	emp\uiucu.exe
c:\windows\system32\winiogon.exe
c:\windows\msnmsgrss.exe
c:\windows\system32\drivers\acpi32.sys
c:\windows\system32\drivers\fips32cup.sys
c:\windows\system32\drivers\i386si.sys
c:\windows\system32\drivers\port135sik.sys
c:\windows\system\mysmas.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"UIUCU"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"17353324"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"97363316"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Logon Application"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MYS Mutex Algorithm Service]
:commands
[purity]
[emptytemp]
[start explorer]



---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

LabsGlawd · Answer

je peut l'enregistrer sur ma cle?

V-X · Answer

Re,

Tu télécharge OTM sur ta clé et ensuite tu copie-colle le script en gras sur ton notepad et tu l'enregistre sur ton bureau et tu claque tout sur ta clé et tu le passe sur l'autres PC.

Aussi fait sa:

Télécharge ComboFix (de sUBs) sur ton Bureau. 

/!\Désactive temporairement toute protection résidente /!\ (Antivirus, antispywares..)
Double clique sur ComboFix.exe.
Accepte la licence en cliquant sur Oui.
Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse. 


Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

Aide :Comment utiliser ComboFix. 

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

LabsGlawd · Answer

Je télécharge Combifix après le scan ?

V-X · Answer

Re,

Tu fait OTM , tu sauvegarde le rapport sur ton bureau , ensuite tu fait combofix et tu le passe , ensuite tu sauvegarde le rapport toujours sur ton bureau et tu me poste les deux rapports Séparement sur le forum.

++

LabsGlawd · Answer

Re,
mon ordinateur a bugué en plein milieu du scan , (plus d'icones juste le fd d'écran , sablier ...) , du coup je l'ai éteint et il veut plus s'allumer , enfin il s'allume et en plein milieu du démarrage il s'éteint .

V-X · Answer

Re,

Du quel scan ?

LabsGlawd · Answer

ah nn laisse c'est bn il vient de s'allumer , euh dsl jvoulé dire OTM.

LabsGlawd · Answer

Me voilà avec un autre bug , je démarre mon ordinateur depuis tout à l'heure et c'est tjrs le même résultats , tout est normal au début , je rentre le code , le bureau s'affiche quand c'est chargé je clique sur poste de travail pour prendre les dossiers ( celui ci ne s'ouvre même pas ) et après tout disparais il ne reste que le fond d'écran ...

V-X · Answer

Re,

Essai de faire ce scan en mode sans échec:Supprime tout ce qu'il aurait trouver très important et dit moi ce que tu as fait !!

&#x25B6 Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

&#x25B6 Mets le à jour

&#x25B6 Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.

&#x25B6 Sélectionne Exécuter un examen COMPLET si ce n'est pas déjà fait

&#x25B6 clique sur Rechercher

&#x25B6 Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

&#x25B6 Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

&#x25B6 Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

&#x25B6 Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

LabsGlawd · Answer

J'ai ouvert OTM , et puis direct après Combofix ( ceux ci étant sur ma clé ) ,  j'ai collé le texte en gras que tu m'as donné dans la fenêtre indiquée , ensuite ça a commencé a défilé , puis combofix s'est ouvert , et il demandait une connexion et c'est là que ça a tout planté parce que la barre démarrer et les icones se sont enlevés , j'ai dc redémarrer , plusieurs fois d'ailleur avant que l'ordinateur ne se décide a afficher les bureau , bn après c'est normal et puis d'un coup tout disparais et il ne reste que le fond d'écran .

V-X · Answer

Re,

As tu eu le rapport de OTM ? je t'avait bien dit de faire l'un après l'autre pas les deux en même temps arffff!!


As tu accès au mode sans échec ?

LabsGlawd · Answer

nan mais en fait quand je t'ai posé la question , je l'avais déjà lancer , et nan je n'ai pas eu le rapport , peut être que ce n'est que passager ... Euh oui je crois que j'y ai accés .

V-X · Answer

Re,

Ben avec combofix !!!!

Fait malwarebyte

Mais supprime tout ce que contient sur ta clé comme outil a part combofix.

Tu le referas après ...

LabsGlawd · Answer

Et je fais quoi avec les mode sans échec ?

V-X · Answer

Re,

Met en mode normal auparavant pour le mettre à jour

sa

LabsGlawd · Answer

Je supp même OTM ?

V-X · Answer

Re,

ben écoute je sais pas ce que tu fait mais bon !!!!

Oui tu supprime OTM.

Ou si tu peut refait un log avec RSIT auparavant.

LabsGlawd · Answer

Depuis tout à l'heure j'essaie d'accéder a Poste de travail mais rien a faire le fond d'écran apparait directement et ça se bloque la seule chose que je peut controler c'est quand l'ordinateur se démarre , ça m'affiche des options en anglais .

V-X · Answer

Re,

En quel mode fait tu la manip ?

LabsGlawd · Answer

A vrai dire j'en sais trop rien , j'pense que c'est mode normal ...

V-X · Answer

Re,

Essaui d'accéder au mode sans échec et lance un scan avec antivir si tu la toujours ou fait combofix en mode sans échec.

Pour accéder au mode sans échec fait comme suit:

Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à [u]imprimer, noter, ou enregistrer/u dans un document texte les informations suivantes afin de ne pas être perdu.
---- /!\ Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig /!\ Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton PC.

LabsGlawd · Answer

J'ai séléctionné le mode sans échec et mon ordinateur s'est éteint , normal? Je redémarre ?

V-X · Answer

Re,

Et ben essai de redémarrer ton pc en mode normal et essai de faire une restauration système , si non , la 

j'avoue que je ne sais pas quoi faire pour la suite....

Explique tout ce que tu as fait avant qu'il crash et espace tes lignes car moi et mes yeux c'est la guerre....

LabsGlawd · Answer

Mode ss échec marche peut être ! =D

LabsGlawd · Answer

ya marqué mode sans échec dans les 4 coins de l'ordi

V-X · Answer

Re,

ben clic sur l'un de ......je pense que c'est cela...??

LabsGlawd · Answer

il m'ouvre une petite fenetre qui parle de restauration ... j'clique sur oui?

V-X · Answer

Re,

ben tente on verras bien...

LabsGlawd · Answer

Bon , la c'est séance caprice , il ne veut plus s'allumer , après la selection de mode sans échec ou normal , il s'éteint ... Que c'est compliqué ... oÔ

V-X · Answer

Re,

ben là je ne voit pas comment faire si il s'allume plus....

essai de faire ceci

Dit quoi !!

LabsGlawd · Answer

Bon , jviens de rééssayer , le mode sans échec marche , on avait donc dit que je cliquais sur oui .

V-X · Answer

Re,

Fait la pas et essai de faire malwarebyte en mode sans échec...

Ou sinon fait un scan avec ton antivirus pour voir.

LabsGlawd · Answer

J'essaie le scan.

LabsGlawd · Answer

A l'entrée du mode sans échec ça m'affiche une fenetre pour savoir si je restaure le système?

V-X · Answer

Re,

Clic sur non et dit quoi !!

LabsGlawd · Answer

De quoi "quoi" ? =o

EDIT: je lance le scan

V-X · Answer

Re,

roooooooooooo!!!


Si c'est bon ...Si tu as enfin accès au mode sans échec.

LabsGlawd · Answer

C'est bon , ça scan , ça va me donner un rapport?

V-X · Answer

Re,

Oui poste le moi.

Supprime tout ce qu'il trouve si c'est malwarbyte .Si c'est antivir tu auras un rapport , poste le.

LabsGlawd · Answer

Et après je fais le truc avec OTM et Combofix?

V-X · Answer

Re,

On verras bien , déjà si tu accède au mode normal.

LabsGlawd · Answer

Et c'est quoi la différence entre le mode sans échec et le mode normal ?

V-X · Answer

Re,

Ben en mode sans échec , c'est un mode ou n'est charger que le minimum , pour faire aller le PC.

++

LabsGlawd · Answer

ok ;)

LabsGlawd · Answer

T'es là le scan est fini ? je clique sur End ou Report ?

V-X · Answer

Re,

Report !!et tu me poste le rapport.

LabsGlawd · Answer

Avira AntiVir Personal
Report file date: dimanche 24 mai 2009  14:34

Scanning for 1369550 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Boot mode:        Save mode
Username:         PORTABLE
Computer name:    PORTABLE-OURXUS

Version information:
BUILD.DAT     : 8.2.0.334      16933 Bytes  16/10/2008 14:55:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26/06/2008 08:57:53
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  26/05/2008 07:56:40
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:19
LUKERES.DLL   : 8.1.4.0        12033 Bytes  26/05/2008 07:58:52
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18/07/2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24/06/2008 13:54:15
ANTIVIR2.VDF  : 7.0.5.20      142336 Bytes  30/06/2008 05:20:53
ANTIVIR3.VDF  : 7.0.5.23       17408 Bytes  30/06/2008 09:24:47
Engineversion : 8.2.0.4   
AEVDF.DLL     : 8.1.0.6       102772 Bytes  14/10/2008 10:05:56
AESCRIPT.DLL  : 8.1.1.8       319866 Bytes  16/10/2008 11:43:34
AESCN.DLL     : 8.1.1.3       123252 Bytes  14/10/2008 10:05:56
AERDL.DLL     : 8.1.1.2       438644 Bytes  12/09/2008 06:06:02
AEPACK.DLL    : 8.1.2.4       369014 Bytes  14/10/2008 10:05:56
AEOFFICE.DLL  : 8.1.0.28      196987 Bytes  14/10/2008 10:05:56
AEHEUR.DLL    : 8.1.0.59     1438071 Bytes  18/09/2008 09:07:50
AEHELP.DLL    : 8.1.1.2       115062 Bytes  14/10/2008 10:05:56
AEGEN.DLL     : 8.1.0.41      319861 Bytes  14/10/2008 10:05:56
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14/10/2008 10:05:56
AECORE.DLL    : 8.1.2.6       172406 Bytes  14/10/2008 10:05:56
AEBB.DLL      : 8.1.0.3        53618 Bytes  14/10/2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:05
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:28:01
AVREP.DLL     : 7.0.0.1       155688 Bytes  30/06/2008 14:35:20
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:40
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:23
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:49
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:40
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:10
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12/06/2008 13:48:07
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 24 mai 2009  14:34

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'dwwin.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
13 processes with 13 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!
Master boot sector HD1
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!
Boot sector 'E:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '52' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\Documents and Settings\PORTABLE\Bureau\SmitfraudFix\Agent.OMZ.Fix.exe
    [DETECTION] The file contains an executable program that is disguised by a harmless file extension (HIDDENEXT/Crypted)
    [WARNING]   The file was ignored!
C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\0FULP2KG\dcv6[1].jpg
    [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
    [WARNING]   The file was ignored!
C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\3FBW07E9\x5s6zq_un-fantome-deprime-de-bob-leponge_fun[1].htm
    [DETECTION] Contains HEUR/HTML.Malware suspicious code
    [NOTE]      The detection was classified as suspicious.
    [WARNING]   The file was ignored!
Begin scan in 'E:\'


End of the scan: dimanche 24 mai 2009  15:42
Used time:  1:08:12 Hour(s)

The scan has been done completely.

   7103 Scanning directories
 195234 Files were scanned
      2 viruses and/or unwanted programs were found
      1 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 195230 Files not concerned
   1144 Archives were scanned
      4 Warnings
      1 Notes

V-X · Answer

Re,

Essai de retourner en mode normal et refait moi un log avec RSIT et dit moi si tu as fait OTM ?

++

LabsGlawd · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by PORTABLE at 2009-05-24 16:03:36
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 5 GB (31%) free of 15 GB
Total RAM: 190 MB (26% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:51, on 24/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ehsg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\dwwin.exe
F:\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PORTABLE.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://netfreesearch.com/cat/weight%20loss
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe asqe.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [fxkvqihr] C:\WINDOWS\system32\elvmyr.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\system32\ehsg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PORTABLE] C:\Documents and Settings\PORTABLE\PORTABLE.exe /i
O4 - HKCU\..\Run: [fxkvqihr] C:\WINDOWS\system32\elvmyr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

V-X · Answer

Re,

Tu as récuperer ton bureau ?

Fait malwarebyte en mode normal et choisit le scan rapide et poste moi le rapport et supprime bien ce qu'il aurait trouver.

++

LabsGlawd · Answer

Il faut être connecté a Internet ? ah nn c'est bn

LabsGlawd · Answer

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1945
Windows 5.1.2600 Service Pack 2

24/05/2009 16:34:56
mbam-log-2009-05-24 (16-34-56).txt

Type de recherche: Examen rapide
Eléments examinés: 65386
Temps écoulé: 15 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpi32 (Rootkit.Spamtool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i386si (Rootkit.Spamtool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fips32cup (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon	askman (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Temp\TMP5.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ehsg.exe (Trojan.Agent) -> Delete on reboot.

V-X · Answer

Re,

Tu as redémarrer ton PC ou pas ?

LabsGlawd · Answer

Ui c'est fait .

V-X · Answer

Re,

&#x25B6 Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
CCLEANER

&#x25B6 Lance-le. Va dans "Options" puis "Avancé",
 
&#x25B6 Tu décoches la case "Effacer uniquement les fichiers etc...". 

&#x25B6 Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage.

&#x25B6 Tu vas dans "Registre", tu fais "Chercher des erreurs". 

Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

&#x25B6 Un tuto ( aide )

Puis tu me refait un log avec RSIT , tu ne ma pas répondut concernant ton bureau.

LabsGlawd · Answer

Ah! escuse , moi , oui c'est bon le bureau est normal .

V-X · Answer

Re,

Ok , fait ce que je t'ai indiquer plus haut et on passe a la suite....

LabsGlawd · Answer

Quand je veux lancer le nettoyage ça me met que ça va effacer les fichier ?

V-X · Answer

Re,

Oui tu nettoie , t'inquiète pas sa va aller.......!!

LabsGlawd · Answer

Je corrige "toutes les erreurs séléctionnées" ?

V-X · Answer

Re,*

Oui et tu n'est pas obliger de sauvegarder ....Tu fait comme tu le sent.

Puis tu refait un redémarrage et tu relance un log avec rsit.

merci

LabsGlawd · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by PORTABLE at 2009-05-24 17:10:45
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 5 GB (32%) free of 15 GB
Total RAM: 190 MB (20% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:11:13, on 24/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
F:\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PORTABLE.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://netfreesearch.com/cat/weight%20loss
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe asqe.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

V-X · Answer

Re,

&#x25B6 Telecharge et install UsbFix de C_XX & Chiquitine29

&#x25B6 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#x25B6 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#x25B6 Choisi l option 1 ( Recherche )

&#x25B6 Laisse travailler l outil.

&#x25B6 Ensuite post le rapport UsbFix.txt qui apparaitra.

&#x25B6 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

LabsGlawd · Answer

C'est encore infecté?

V-X · Answer

Re,

OUI .  

Fait ce qui est indiquer ICI

++

Bientôt la fin je pense.

LabsGlawd · Answer

############################## [ UsbFix V3.025 | Scan ]

# User : PORTABLE (Administrateurs) # PORTABLE-OURXUS
# Update on 22/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 17:24:47 | 24/05/2009

# mobile AMD Athlon(tm) XP2200+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 14,65 Go (4,62 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 13,29 Go (9,34 Go free) # FAT32
# F:\ # Disque amovible # 970,12 Mo (956,73 Mo free) [Flash Disk] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre Startup ]

HKCU_Main:   "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:   "Search Page"="https://www.google.com/?gws_rd=ssl" 
HKCU_Main:   "Start Page"="http://netfreesearch.com/cat/weight%20loss" 
HKLM_logon:  "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon:  "DefaultUserName"="PORTABLE" 
HKLM_logon:  "AltDefaultUserName"="PORTABLE" 
HKLM_logon:  "LegalNoticeCaption"="" 
HKLM_logon:  "LegalNoticeText"="" 
HKLM_Run:    ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 
HKLM_Run:    CARPService=carpserv.exe 
HKLM_Run:    SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe 
HKLM_Run:    SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 
HKLM_Run:    Display Settings=C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s 
HKLM_Run:    TWCU="C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui 
HKLM_Run:    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
HKLM_Run:    avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    Skype="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized  
HKCU_Run:    HKEY_CURRENT_USER\software\microsoft\windows\currentversionun\AdobeUpdater=  

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\klikertaar.exe  
F:\autorun.inf # -> fichier appelé : "F:
ame\\\\\\less.exe" ( présent ! )  
Found ! F:\autorun.inf  

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\windows nt\currentversion\winlogon\ "Taskman"    

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{23db5c80-e3f9-11dd-832a-000d9d596ec7}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{23db5c80-e3f9-11dd-832a-000d9d596ec7}\Shell\explore\Command  
HKCU\...\Explorer\MountPoints2\{23db5c80-e3f9-11dd-832a-000d9d596ec7}\Shell\open\Command  

################## [ Informations # Fichier Suspect ]


################## [ Cracks # Keygens # Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.025 ! ]

V-X · Answer

Re,

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#x25B6 Double clic sur le raccourci UsbFix présent sur ton bureau
 
&#x25B6 Choisi l option 2 ( Suppression )

&#x25B6 Ton bureau disparaitra et le pc redémarrera .

&#x25B6 Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

&#x25B6 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#x25B6 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

LabsGlawd · Answer

############################## [ UsbFix V3.025 | Cleaning ]

# User : PORTABLE (Administrateurs) # PORTABLE-OURXUS
# Update on 22/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 17:41:24 | 24/05/2009

# mobile AMD Athlon(tm) XP2200+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 14,65 Go (4,62 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 13,29 Go (9,34 Go free) # FAT32
# F:\ # Disque amovible # 970,12 Mo (956,73 Mo free) [Flash Disk] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dwwin.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\klikertaar.exe    
F:\autorun.inf # -> fichier appelé : "F:
ame\\\\\\less.exe" ( présent ! )  
Deleted ! -> F:
ame\\\\\\less.exe 
Deleted ! F:\autorun.inf    

################## [ Registre # Clés Run infectieuses ]

Deleted ! HKLM\software\microsoft\windows nt\currentversion\winlogon\ "Taskman"    

################## [ Registre # Mountpoints2 ]


################## [ Listing des fichiers présent ]

[17/07/2007 12:46|--a------|0] - C:\AUTOEXEC.BAT
[17/07/2007 18:29|-rahs----|212] - C:\boot.ini
[24/04/2003 14:00|-rahs----|4952] - C:\Bootfont.bin
[17/07/2007 12:46|--a------|0] - C:\CONFIG.SYS
[20/05/2009 18:46|--a------|2314] - C:\dialer.MSNFix
[09/12/2007 17:58|--a------|258] - C:\error.log
[08/12/2008 11:08|--a------|442] - C:\InstallHelper.log
[17/07/2007 12:46|-rahs----|0] - C:\IO.SYS
[17/05/2009 19:39|--a------|77312] - C:\last.MSNFix
[17/05/2009 16:18|--a------|3598] - C:\lats.MSNFix
[17/07/2007 12:46|-rahs----|0] - C:\MSDOS.SYS
[17/07/2007 18:17|-rahs----|47564] - C:\NTDETECT.COM
[17/07/2007 18:17|-rahs----|251712] - C:
tldr
[?|?|?] - C:\pagefile.sys
[24/05/2009 11:14|--a------|4455] - C:apport.txt
[24/05/2009 17:50|--a------|3003] - C:\UsbFix.txt
[08/03/2008 14:47|--a------|32] - E:\Clé wifi de HAMZA.txt
[19/08/2004 16:10|--a------|28672] - E:\setupSNK.exe
[24/05/2009 11:40|--a------|389632] - F:\OTMoveIt3.exe
[24/05/2009 11:41|-ra------|2979632] - F:\ComboFix.exe
[24/05/2009 15:50|--a------|12206] - F:\AVSCAN-20090524-143413-5AE2C6B5.LOG
[24/05/2009 15:59|--a------|781909] - F:\RSIT.exe
[24/05/2009 16:06|--a------|25861] - F:\log.txt
[24/05/2009 16:12|--a------|2967800] - F:\mbam-setup.exe
[24/05/2009 16:35|--a------|1784] - F:\mbam-log-2009-05-24 (16-34-56).txt
[24/05/2009 16:48|--a------|3227248] - F:\ccsetup219.exe
[24/05/2009 17:11|--a------|24894] - F:\log2.txt
[24/05/2009 17:20|--a------|718324] - F:\UsbFix.exe
[24/05/2009 17:33|--a------|4321] - F:\UsbFix.txt
[24/05/2009 17:40|--a------|1612] - F:\BOOTEX.LOG

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ Informations # Fichier Suspect ]


################## [ Cracks # Keygens # Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.025 ! ]

V-X · Answer

Re,

Désinstalle USBfix => option 3.

puis tu refait un log avec rsit.

merci

LabsGlawd · Answer

Re,
Merci, je lance la procédure et donne une suite...

LabsGlawd · Answer

Sur mon ordinateur il y a marqué que c'est l'option 5 , est-ce normal?

V-X · Answer

Re,

ben fait l'option 5 alors me suis tromper ...!!

rOooooo

LabsGlawd · Answer

oOK ^^

LabsGlawd · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by PORTABLE at 2009-05-24 18:24:53
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 5 GB (32%) free of 15 GB
Total RAM: 190 MB (47% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:10, on 24/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
F:\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PORTABLE.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

V-X · Answer

Re,

---> Télécharge OTM (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :

:processes
explorer.exe

:Services
c:\windows\system32\drivers\port135sik.sys

:files
c:\windows\system\mysmas.exe
c:\documents and settings\all users\application data\97363316\97363316.exe
c:\windows\system32\winiogon.exe
c:\windows\msnmsgrss.exe
c:\documents and settings\all users\application data\17353324\17353324.exe
c:\windows\system32\logon.exe

:commands
[purity]
[emptytemp]
[start explorer]



---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

LabsGlawd · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service\Driver c:\windows\system32\drivers\port135sik.sys not found.
Service\Driver c:\windows\system32\drivers\port135sik.sys not found.
========== FILES ==========
File/Folder c:\windows\system\mysmas.exe not found.
File/Folder c:\documents and settings\all users\application data\97363316\97363316.exe not found.
File/Folder c:\windows\system32\winiogon.exe not found.
File/Folder c:\windows\msnmsgrss.exe not found.
File/Folder c:\documents and settings\all users\application data\17353324\17353324.exe not found.
File/Folder c:\windows\system32\logon.exe not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05242009_183744

Files moved on Reboot...

V-X · Answer

Re,

Au grand maux , au grand moyen:

Télécharge ComboFix (de sUBs) sur ton Bureau. 

/!\Désactive temporairement toute protection résidente /!\ (Antivirus, antispywares..)
Double clique sur ComboFix.exe.
Accepte la licence en cliquant sur Oui.
Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse. 


Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

Aide :Comment utiliser ComboFix. 

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

LabsGlawd · Answer

C'est si grave que ça ! ^^

LabsGlawd · Answer

Et , il faut qu'internet marche obligatoirement pour installer ?

V-X · Answer

Re,

ben il y a encore des infection qui ne sont pas shooter par le script et normalement il devrait l'être donc , j'utilise combofix , si cela ne va pas encore ben on avisera , mais bon je pense qu'avec combofix cela devrait aller après.

++

V-X · Answer

Re,

Tu le télécharge et il est préférable d'installer la console de récup. , mais bon si tu n'as pas d'autres choix , ne l'installe pas.

LabsGlawd · Answer

Mon ordinateur a redémarrer sans que je ne donne aucune commande , c'est normal ?

LabsGlawd · Answer

ComboFix 09-05-23.04 - PORTABLE 24/05/2009 18:51.2 - NTFSx86
Lancé depuis: F:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\WinPCap
c:\program files\WinPCappcapd.exe
c:\windows\system32\drivers
pf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
.
---- Exécution préalable -------
.
c:\windows\system\mysmas.exe
c:\windows\system32\404Fix.exe
c:\windows\system32\drivers\sysdrv32.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32	mp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
E:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ACPI32
-------\Legacy_FIPS32CUP
-------\Legacy_I386SI
-------\Legacy_MYS_MUTEX_ALGORITHM_SERVICE
-------\Legacy_NPF
-------\Legacy_PORT135SIK
-------\Legacy_SYSDRV32
-------\Service_npf
-------\Service_port135sik


(((((((((((((((((((((((((((((   Fichiers créés du 2009-04-24 au 2009-05-24  ))))))))))))))))))))))))))))))))))))
.

2009-05-24 14:50 . 2009-05-24 14:50	--------	d-----w	c:\program files\CCleaner
2009-05-24 14:15 . 2009-05-24 14:15	--------	d-----w	c:\documents and settings\PORTABLE\Application Data\Malwarebytes
2009-05-24 14:15 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-24 14:15 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-24 14:15 . 2009-05-24 14:15	--------	d-----w	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-05-24 14:15 . 2009-05-24 14:15	--------	d-----w	c:\program files\Malwarebytes' Anti-Malware
2009-05-24 12:52 . 2009-05-24 12:52	552	----a-w	c:\windows\system32\d3d8caps.dat
2009-05-24 08:30 . 2009-05-24 14:04	--------	d-----w	C:sit
2009-05-24 08:28 . 2009-05-24 08:28	--------	d-----w	c:\program files\Trend Micro
2009-05-24 08:12 . 2009-05-24 08:12	83456	----a-w	c:\windows\system32
umcz.exe
2009-05-20 19:34 . 2008-05-09 11:15	45376	----a-w	c:\windows\system32\drivers\avgntdd.sys
2009-05-20 19:34 . 2008-01-21 16:11	22336	----a-w	c:\windows\system32\drivers\avgntmgr.sys
2009-05-20 19:33 . 2008-06-27 13:03	75072	----a-w	c:\windows\system32\drivers\avipbb.sys
2009-05-20 19:33 . 2009-05-20 19:33	--------	d-----w	c:\program files\Avira
2009-05-20 19:33 . 2009-05-20 19:33	--------	d-----w	c:\documents and settings\All Users\Application Data\Avira
2009-05-20 19:23 . 2009-05-20 19:23	83456	----a-w	c:\windows\system32\pjtxdhkj.exe
2009-05-20 17:02 . 2009-05-20 17:02	428032	----a-w	c:\windows\system32\mfiqoc.exe
2009-05-20 16:38 . 2009-05-20 16:38	83456	----a-w	c:\windows\system32\xftnlxk.exe
2009-05-17 17:32 . 2009-05-17 17:32	428032	----a-w	c:\windows\system32\lyhwmkwl.exe
2009-05-17 17:27 . 2009-05-24 09:48	--------	d-----w	c:\documents and settings\All Users\Application Data\97363316
2009-05-17 17:27 . 2009-05-24 09:48	--------	d-----w	c:\documents and settings\All Users\Application Data\17353324
2009-05-17 17:25 . 2009-05-17 17:25	428032	----a-w	c:\windows\system32\opodm.exe
2009-05-17 17:25 . 2009-05-17 17:25	20494	----a-w	c:\windows\system32\arudw.exe
2009-05-10 08:07 . 2009-05-10 08:07	--------	d-----w	c:\program files\Microsoft CAPICOM 2.1.0.2
2009-05-09 13:08 . 2008-10-16 12:06	208744	----a-w	c:\windows\system32\muweb.dll
2009-05-09 13:08 . 2008-10-16 12:06	268648	----a-w	c:\windows\system32\mucltui.dll
2009-05-08 18:15 . 2009-05-17 17:56	--------	d-----w	c:\documents and settings\PORTABLE\Tracing
2009-05-08 18:07 . 2009-05-08 18:07	--------	d-----w	c:\program files\Fichiers communs\Windows Live
2009-05-08 17:28 . 2009-05-08 17:28	--------	d-----w	c:\documents and settings\PORTABLE\Application Data\Leadertech

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-24 10:31 . 2008-11-08 08:08	--------	d-----w	c:\documents and settings\PORTABLE\Application Data\Skype
2009-05-24 10:04 . 2007-07-17 11:04	90112	----a-w	c:\windows\DUMP88b8.tmp
2009-05-23 19:14 . 2007-07-17 11:04	90112	----a-w	c:\windows\DUMP884a.tmp
2009-05-23 18:24 . 2008-03-07 19:43	--------	d-----w	c:\program files\Symantec
2009-05-23 18:24 . 2008-03-07 19:43	--------	d-----w	c:\program files\Fichiers communs\Symantec Shared
2009-05-09 13:15 . 2008-10-01 13:32	--------	d-----w	c:\program files\Dofus
2009-05-08 18:14 . 2007-07-17 19:06	16744	----a-w	c:\documents and settings\PORTABLE\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-08 17:23 . 2007-07-17 15:47	--------	d-----w	c:\documents and settings\PORTABLE\Application Data\OpenOffice.org2
2009-04-23 18:44 . 2009-04-09 15:41	2932	----a-w	c:\windows\system32\d3d9caps.dat
2009-04-18 11:31 . 2003-04-24 12:00	77476	----a-w	c:\windows\system32\perfc00C.dat
2009-04-18 11:31 . 2003-04-24 12:00	474972	----a-w	c:\windows\system32\perfh00C.dat
2009-04-10 20:27 . 2008-11-08 08:07	--------	d-----r	c:\program files\Skype
2009-04-10 20:27 . 2008-11-08 08:06	--------	d-----w	c:\documents and settings\All Users\Application Data\Skype
2009-03-06 14:46 . 2003-04-24 12:00	286208	----a-w	c:\windows\system32\pdh.dll
2009-03-03 00:13 . 2009-03-03 00:13	826368	----a-w	c:\windows\system32\SET89.tmp
2009-03-03 00:13 . 2006-06-23 11:28	826368	----a-w	c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-03-27 24103720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-15 335872]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-11-04 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-11-04 688218]
"Display Settings"="c:\program files\HPQ\Notebook Utilities\hptasks.exe" [2002-08-15 45056]
"TWCU"="c:\program files\TP-LINK\TWCU\TWCU.exe" [2006-03-29 364544]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"CARPService"="carpserv.exe" - c:\windows\system32\carpserv.exe [2003-11-08 4608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\EasyPHP1-7\apache\apache.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\WINDOWS\System32\MsiExec.exe"=
"c:\WINDOWS\system32\netsh.exe"=
"c:\WINDOWS\system32\control.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\WINDOWS\system32\lyhwmkwl.exe"=
"c:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"=
"c:\WINDOWS\system32\carpserv.exe"=
"c:\Program Files\Synaptics\SynTP\SynTPLpr.exe"=
"c:\Program Files\Synaptics\SynTP\SynTPEnh.exe"=
"c:\WINDOWS\system32\xftnlxk.exe"=
"c:\WINDOWS\system32\WgaTray.exe"=
"c:\WINDOWS\system32\pjtxdhkj.exe"=
"c:\WINDOWS\system32\numcz.exe"=

R3 Egatebus;Egatebus;c:\windows\system32\drivers\egatebus.sys [22/12/2007 21:21 15328]
R3 Egaterdr;Egaterdr;c:\windows\system32\drivers\egaterdr.sys [22/12/2007 21:21 13440]
S3 Egatecard;Egatecard;c:\windows\system32\drivers\egate.sys [22/12/2007 21:21 18880]
.
Contenu du dossier 'Tâches planifiées'

2009-05-24 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-14 20:18]
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-procexp90.Sys
SafeBoot-MYS Mutex Algorithm Service


.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-24 19:05
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\HPConfig.exe
c:\program files\HPQ\Notebook Utilities\HPWirelessMgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-05-24 19:15 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-05-24 17:15

Avant-CF: 4 953 538 560 octets libres
Après-CF: 4 897 951 744 octets libres

179	--- E O F ---	2009-05-16 19:12

V-X · Answer

Re,

Oui c'est normal.

Refait un Log avec RSIT.

merci

LabsGlawd · Answer

Ah t'es revenu , enfin ! =)

V-X · Answer

Re,

Et j'ai une vie a côté aussi alors soit patient ou patiente un  peu aussi

LabsGlawd · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by PORTABLE at 2009-05-24 20:20:31
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 5 GB (31%) free of 15 GB
Total RAM: 190 MB (24% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:46, on 24/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\explorer.exe
F:\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PORTABLE.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

LabsGlawd · Answer

nn mais je disais pas ça pour ça , simplement que je me faisais remballer de partout sur les autres topics quand je voulais poster mon scan , alors dsl si je t'ai offensé . =S

V-X · Answer

Re,

---> Télécharge OTM (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :

:processes
explorer.exe

:files
C:\WINDOWS\system32	mp.txt 

:commands
[purity]
[emptytemp]
[start explorer]



---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

LabsGlawd · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\system32	mp.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\PORTABLE\LOCALS~1\Temp\etilqs_00qBHuuFh3JY5V6b0HJW scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PORTABLE\LOCALS~1\Temp\etilqs_i3n0aKrffmM4o4Q5LhSN scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\XNUPVSOV\OTMoveIt3[1].exe scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\2VW9MKQO\affich-12584921-il-change-mn-fd-d-ecran-et-ouvre-des-page-net[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05242009_202932

Files moved on Reboot...
File C:\DOCUME~1\PORTABLE\LOCALS~1\Temp\etilqs_00qBHuuFh3JY5V6b0HJW not found!
File C:\DOCUME~1\PORTABLE\LOCALS~1\Temp\etilqs_i3n0aKrffmM4o4Q5LhSN not found!
C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\XNUPVSOV\OTMoveIt3[1].exe moved successfully.
C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\Content.IE5\2VW9MKQO\affich-12584921-il-change-mn-fd-d-ecran-et-ouvre-des-page-net[1].htm moved successfully.
C:\Documents and Settings\PORTABLE\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.

V-X · Answer

Re,

OK.

maintenant on passe à la fin.

Télécharge toolscleaner sur ton Bureau : 

toolscleaner

* Double-clique sur ToolsCleaner2.exe et laisse le travailler 

* Clique sur Recherche et laisse le scan se terminer. 

* Clique sur Suppression pour finaliser. 

* Tu peux, si tu le souhaites, te servir des Options facultatives. 

* Clique sur Quitter, pour que le rapport puisse se créer. 

* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

LabsGlawd · Answer

Ok thx! ;)

LabsGlawd · Answer

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\*.msnfix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\PORTABLE\*.msnfix: trouvé !
C:\Documents and Settings\PORTABLE\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\PORTABLE\Bureau\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\PORTABLE\Bureau\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\PORTABLE\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\PORTABLE\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

V-X · Answer

Re, Cherche dans =>C:\*.msnfix: et supprime Cherche dans =>C:\Documents and Settings\PORTABLE\*.msnfix: et supprime Cherche dans =>C:\WINDOWS\system32\*.msnfix: et supprime Vide ta corbeille et fait ce qui suit et on passe a la fin de chez fin. > Fais un scan en ligne avec Kaspersky : Kaspersky N.B. : Le scan ne marche que sous Internet Explorer. - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si necessaire. - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. - On va te demander de télécharger un contrôle active x, accepte . - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer. - Poste le rapport qui sera généré stp. (clique sur puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension). S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : clic ici Rappel : le scan est à faire sous Internet Explorer Tuto ici si problème NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").

LabsGlawd · Answer

Je n'arrive pas à le télécharger . . .

V-X · Answer

Re,

Suit bien le tuto et si tu n'arrive fait celui là :

Le tuto =>http://www.vista-xp.fr/forum/topic109.html

L'autres scan online :

 Fais un scan en ligne BitDefender (uniquement sous Internet Explorer) : https://www.bitdefender.com/toolbox/

Poste le rapport complet ici quand ce sera terminé.

LabsGlawd · Answer

Là , il y a une fenêtre qui charge "Initialisation de Kaspersky On-line Scanner" , je suis dans le bon chemin?

LabsGlawd · Answer

Bon , malheuresement , il a fallu que mon père intervienne '-- , du coup j'peux pas continuer =S , je ne te remercierai jamais assez pour ce que tu viens de faire , j'essayerai de faire la dernière étape à mon retour , si le topic est encore là ! Merci beaucoup et trés bonne continuation ! ;)

V-X · Answer

Re,

Le topic sera toujours là....

Pas de souci , j'attend de tes nouvelles.

++

LabsGlawd · Answer

Bonsoir , 
j'ai un trés grand problème , l'ordinateur de départ que j'utilisé est infecté ( lien clé usb ? ) . . .

V-X · Answer

Re,

Tu as encore des soucis ?

On avait fini pourtant...

Ben si tel est le cas refait un topic...

LabsGlawd · Answer

Je n'ai pas téléchargé le dernier logiciel ,est-ce un soucis?

V-X · Answer

Re,

fallait faire le scan avec Bitdefender c'est tout :

Fais un scan en ligne BitDefender (uniquement sous Internet Explorer) : https://www.bitdefender.com/toolbox/

Poste le rapport complet ici quand ce sera terminé.

LabsGlawd · Answer

Il faut autoriser tout les controles ActiveX ?

V-X · Answer

Re,

Oui tant qu'a faire lol...

LabsGlawd · Answer

J'fais comment pour le scan?

LabsGlawd · Answer

BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Thu, May 28, 2009 - 23:46:24
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 266460
 
Infected Files
 35
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
Gen:Trojan.Heur.50D02F1A1A
 2
 
Backdoor.SDBot.DGBN
 2
 
Gen:Trojan.Heur.Hype.A1E11E1E1E
 4
 
Backdoor.Agent.AAFW
 1
 
Trojan.Inject.UP
 3
 
Rootkit.17518
 21
 
Gen:Trojan.Heur.Hype.30609F9F9F
 2
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

V-X · Answer

Re,

Refait un topic car là avec 8 pages !!

++

LabsGlawd · Answer

Bon , j'pense que c'est bon pour cet ordinateur , est-ce que tu saurais ce qu'est "autorun..." (que je n'arrive pas à 

supprimer car utiliser par une autre personne ? ) , ce programme s'installe sur ma clé usb a chaque fois que je la 

branche sur un ordinateur infecté et aussi si tu connais un truc pour qu'on ne soit pas obliger de formater la clé à 

chaque fois en gros d'éviter qu'"autorun..." se réinstalle sur la clef ! Voilou , bonne nuit ( tu dois dja dormir xD ) 

++ thx pour tt ! ;)

P.S.; comme conseillé je referais un autre topic pour l'autre ordinateur infectés ? ( moins grave je pense car infecté depuis seulement Dimanche 24/05/09 )

V-X · Answer

Re,

est-ce que tu saurais ce qu'est "autorun..." (que je n'arrive pas à

supprimer car utiliser par une autre personne ? )

autorun.inf (fichier qui s'exécute automatiquement sur le périphérique amovible, lors de l'insertion, si l'exécution automatique est activée et marche  est présent, il crée automatiquement (en fonction de son contenu) des sous-clefs et valeurs dans la GUID du périphérique correspondant.

++

LabsGlawd · Answer

https://forums.commentcamarche.net/forum/affich-12645631-mon-2eme-ordinateur-infecte-par-trojan-co#2

Voilà le New topic! ;)

Il change mn fd d'écran et ouvre des page net

132 réponses

Votre réponse

Discussions similaires

Newsletters