WORM_KOOBFACE.EM impossible à erradiquer

Résolu
dmgb34 Messages postés 66 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

L'ordinateur de ma soeur est infecté par WORM_KOOBFACE.EM.

Avast ne marche plus, j'ai téléchargé Antivir qui s'est installé mais ne veut pas démarrer.

J'ai tenté d'effectuer un dignostic d'infection avec Hijackthis qui ne veut pas démarrer non plus.

j'ai effectué un diagnostic en ligne sur trend micro. Il a trouvé différents trojan et vers. Le seul qui résiste s'appelle WORM_KOOBFACE.EM
le détail de trend micro montre qu'il s'agit de : c:\WINDOWS\system32\SYS32DLL.exe

Cela ressemble à un fichier système que je redoute de supprimer même s'il est corrompu.

Comment puis je me débasrasser de ce ver sans affecter le système de la machine ?
Est-ce la raison pour laquelle Hijackthis ne veut pas démarrer sur l'ordi ?
Comment réinstaller un antivirus ?

Merci à vous pour m'aider à résoudre ce problème. A vous lire,

Configuration Windows xp professionnal
IE 6
Configuration: Windows XP Internet Explorer 6.0

16 réponses

  1. kduc Messages postés 1537 Statut Membre 133
     
    ...

    Si MalwareByte's a détecté des infections (ce qui est le cas), clique sur Afficher les résultats,
    puis sur Supprimer la sélection.
    1
  2. kduc Messages postés 1537 Statut Membre 133
     
    Salut,

    Clique droit sur UN de ces 3 liens pour installer ComboFix :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
    ou https://forospyware.com (par sUBs).

    Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
    et sauvegarde-le (Enregistrer dans) sur le Bureau.

    Important : dans "Nom du fichier" enregistre (renomme) "combofix" en combo-fix.exe

    Prends connaissance de ce tutoriel : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Ferme toutes les fenêtres et applications.
    Déconnecte-toi du net et désactive tes protections résidentes :
    https://forum.pcastuces.com/default.asp

    Sur le bureau, double clique combo-fix.exe.
    Tape sur la touche Y (Yes) pour démarrer le scan.
    ComboFix redémarrera ton PC.
    Lorsque le scan sera complété, un rapport apparaîtra.
    Copie/colle ce rapport dans ta prochaine réponse et nouveau rapport hijackthis.

    PS : Le rapport se trouve également ici : C:\Combofix.txt

    Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, cela pourrait
    provoquer le gel du programme
    !

    -------
    Ensuite, ...

    Fais un scan en ligne ...
    http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1247347606343

    Clique sur > Accept.
    Il est possible qu’ une barre jaune te demande d’ installer le
    Kavwebscan_Unicode.cab (ActiveX) ; installe-le.
    Clique une nouvelle fois sur > Accept.
    Les mises à jour vont s’ installer. Patiente un moment.
    Clique sur > Next.
    Clique sur > My Computer (Poste de travail).
    Le scan va commencer. Patiente ...
    Attends la fin du scan (ne ferme pas la fenêtre, sinon il va stopper).
    Une fois le scan achevé, poste le rapport.

    Un conseil : désactive Antivir pendant le scan et utilise Internet Explorer pour celui-ci (le scan).
    0
  3. dmgb34 Messages postés 66 Statut Membre
     
    Merci pour ta réponse très rapide.

    Je vais essayer la manoeuvre.
    0
  4. dmgb34
     
    Re bonsoir Kduc,

    Il y a une différence entre le tutoriel et ta réponse. A- t-elle une importance pour l'utilisation de combofix ?

    Le tutoriel propose de télécharger le programme sans changer le nom, ce que je viens de fire. Est ce à cause de la config de l'ordi que tu me proposes de changer le nom ? Cela ne va -t-il pas endommager le logiciel téléchargé ?

    A te lire, Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kduc Messages postés 1537 Statut Membre 133
     
    ...

    Le chgt de nom est demandé car, certains virus/malwares reconnaissent ComboFix et arrivent à le contourner.

    Avec le chgt, c' est beaucoup plus difficile vu les multiples combinaisons possibles !

    Si tu veux, tu peux l' appeler : dmgb.exe
    0
    1. dmgb34 Messages postés 66 Statut Membre
       
      Bonjour Kduc,

      Je t'envoie le raport de ComboFix. Tout s'est parfaitement déroulé, Antivir est désormais fonctionnel. Je te remercie pour ton aide,

      A te lire


      ComboFix 09-07-09.08 - PAQUIER 12/07/2009 11:03.1.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.0.1252.33.1036.18.255.137 [GMT 2:00]
      Lancé depuis: c:\documents and settings\PAQUIER\Bureau\combo-fix.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\program files\Microsoft Common
      c:\program files\Microsoft Common\emails.dat
      c:\program files\Microsoft Common\log.dat
      c:\windows\9g2234wesdf3dfgjf23
      c:\windows\System32\ahuiw.exe
      c:\windows\system32\drivers\glaide32.sys
      c:\windows\system32\SYS32DLL.exe

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_REMOTEREGISTRYALERTER
      -------\Service_glaide32
      -------\Service_RemoteRegistryAlerter


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-06-12 au 2009-07-12 ))))))))))))))))))))))))))))))))))))
      .

      2009-07-11 18:39 . 2007-08-01 20:47 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
      2009-07-11 18:04 . 2009-07-11 18:44 -------- d-----w- c:\documents and settings\PAQUIER\.housecall6.6
      2009-07-11 17:40 . 2009-07-11 17:40 152576 ----a-w- c:\documents and settings\PAQUIER\Application Data\Sun\Java\jre1.6.0_14\lzma.dll
      2009-07-11 16:22 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
      2009-07-11 16:22 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
      2009-07-11 16:22 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
      2009-07-10 18:00 . 2009-07-10 18:00 -------- d-----w- c:\windows\system32\wbem\Repository
      2009-07-10 16:25 . 2009-07-10 16:25 -------- d-----w- c:\program files\Avira
      2009-07-10 16:25 . 2009-07-10 16:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
      2009-06-17 17:50 . 2001-09-28 12:00 21504 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-07-12 09:13 . 2009-05-01 16:49 -------- d-----w- c:\documents and settings\PAQUIER\Application Data\Skype
      2009-07-12 09:12 . 2008-11-30 20:25 -------- d-----w- c:\documents and settings\PAQUIER\Application Data\EoRezo
      2009-07-12 09:11 . 2008-11-01 14:34 -------- d-----w- c:\program files\Wanadoo
      2009-07-12 08:24 . 2009-03-09 18:57 -------- d-----w- c:\documents and settings\PAQUIER\Application Data\skypePM
      2009-07-11 17:20 . 2009-07-11 17:22 1532928 ----a-w- c:\windows\Internet Logs\xDB15.tmp
      2009-07-09 22:26 . 2009-07-09 22:27 1517568 ----a-w- c:\windows\Internet Logs\xDBAC2.tmp
      2009-07-09 16:12 . 2009-05-18 19:14 100 --s-a-w- c:\windows\system32\3164745031.dat
      2009-07-08 18:38 . 2009-07-08 18:39 1187840 ----a-w- c:\windows\Internet Logs\xDB14.tmp
      2009-07-03 14:12 . 2009-07-03 14:11 19180316 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_07_03_16_02_48_full.dmp.zip
      2009-07-02 12:01 . 2009-07-02 11:59 19165845 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_07_02_13_50_13_full.dmp.zip
      2009-07-02 11:59 . 2009-07-02 11:59 105275 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2009_07_02_13_49_18_small.dmp.zip
      2009-07-02 11:49 . 2009-07-02 11:52 1508352 ----a-w- c:\windows\Internet Logs\xDB447.tmp
      2009-06-26 15:10 . 2009-06-26 15:12 1059328 ----a-w- c:\windows\Internet Logs\xDB13.tmp
      2009-06-17 20:32 . 2001-09-28 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
      2009-06-17 20:32 . 2001-09-28 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
      2009-06-14 15:33 . 2009-06-14 15:34 302592 ----a-w- c:\windows\Internet Logs\xDB11.tmp
      2009-06-14 15:33 . 2009-06-14 15:34 1492480 ----a-w- c:\windows\Internet Logs\xDB12.tmp
      2009-06-10 22:22 . 2009-06-11 11:25 2651648 ----a-w- c:\windows\Internet Logs\xDBF.tmp
      2009-05-26 18:44 . 2009-05-26 18:44 2621440 ----a-w- c:\windows\Internet Logs\xDBE.tmp
      2009-05-26 18:44 . 2009-05-26 18:45 1476608 ----a-w- c:\windows\Internet Logs\xDB10.tmp
      2009-05-25 19:58 . 2009-05-25 19:59 1475584 ----a-w- c:\windows\Internet Logs\xDBD.tmp
      2009-05-18 19:15 . 2009-05-18 19:15 2 ---h--w- c:\windows\sto453190.dat
      2009-04-19 20:33 . 2009-04-19 20:33 801280 ----a-w- c:\windows\Internet Logs\xDBB.tmp
      2009-04-19 20:33 . 2009-04-19 20:33 1441792 ----a-w- c:\windows\Internet Logs\xDBC.tmp
      2009-04-15 10:58 . 2009-04-15 10:59 1436672 ----a-w- c:\windows\Internet Logs\xDBA.tmp
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-09-28 13312]
      "MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2009-01-07 190024]
      "LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2009-03-22 16384]
      "Skype"="c:\program files\Skype\\Phone\Skype.exe" [2009-02-04 23975720]
      "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2002-09-05 24576]
      "Demon"="c:\progra~1\MESSAG~1\Demon.exe" [2002-09-03 40960]
      "SpeedTouch USB Diagnostics"="c:\program files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 861184]
      "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2002-09-05 20480]
      "WOOTASKBARICON"="c:\progra~1\Wanadoo\TaskbarIcon.exe" [2002-09-05 45056]
      "AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
      "EoEngine"="c:\program files\EoRezo\EoEngine.exe" [2008-11-25 472872]
      "MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2009-01-07 190024]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
      "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
      "RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2009-03-22 20480]
      "LVCOMS"="c:\program files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE" [2002-09-20 90112]
      "LogitechGalleryRepair"="c:\program files\Logitech\ImageStudio\ISStart.exe" [2002-09-11 155648]
      "LogitechImageStudioTray"="c:\program files\Logitech\ImageStudio\LogiTray.exe" [2002-09-11 45056]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-04-04 413696]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-09-28 13312]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2009-3-22 169472]
      Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "UpdatesDisableNotify"=dword:00000001

      R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [11/07/2009 18:22 22360]
      R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [11/07/2009 18:22 45416]
      R2 antivirschedulerservice;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/07/2009 18:22 108289]
      S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [14/12/2008 16:29 33752]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKLM-Run-Cmaudio - cmicnfg.cpl


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://lo.st/#home
      uInternet Settings,ProxyOverride = localhost
      IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-07-12 11:13
      Windows 5.1.2600 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(704)
      c:\windows\system32\ODBC32.dll
      c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

      - - - - - - - > 'lsass.exe'(760)
      c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
      c:\windows\System32\dssenh.dll

      - - - - - - - > 'explorer.exe'(236)
      c:\docume~1\PAQUIER\LOCALS~1\TempIadHide3.dll
      c:\program files\MessengerPlus! 3\MsgPlusLoader.dll
      c:\windows\system32\WS2_32.dll
      c:\windows\system32\WS2HELP.dll
      c:\windows\System32\msi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Avira\AntiVir Desktop\avguard.exe
      c:\program files\Skype\Phone\Skype.exe
      c:\progra~1\MSNMES~1\msnmsgr.exe
      c:\program files\Logitech\ImageStudio\LowLight.exe
      c:\program files\Skype\Plugin Manager\skypePM.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-07-12 11:17 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-07-12 09:17

      Avant-CF: 108 194 754 560 octets libres
      Après-CF: 108 667 772 928 octets libres

      WinXP_FR_PRO_BF.EXE
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect

      157
      0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok
    pour poursuivre un peu

    scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

    ______________________

    Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :

    http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

    /!\ Déconnectes toi et fermes toutes applications en cours

    ● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ● Double clique sur l'icône Ad-removersituée sur ton bureau
    ● Au menu principal choisi l'option "A"
    ● Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. dmgb34 Messages postés 66 Statut Membre
       
      Merci, je m'y mets
      0
    2. dmgb34 Messages postés 66 Statut Membre
       
      Salut,

      J'ai scanné avec malwarebytes l'ordi, je t'envoie le rapport. Puis-je tout virer ?,

      A te lire

      Malwarebytes' Anti-Malware 1.38
      Version de la base de données: 2412
      Windows 5.1.2600

      12/07/2009 16:25:27
      mbam-log-2009-07-12 (16-25-12).txt

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 109152
      Temps écoulé: 25 minute(s), 50 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 5
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 1
      Fichier(s) infecté(s): 16

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\TypeLib\{b6acb3f1-6a83-432c-b854-3e1056f87f4e} (Adware.EoRezo) -> No action taken.
      HKEY_CLASSES_ROOT\Interface\{819db72d-1c28-4387-9778-e2ff3dc86f74} (Adware.EoRezo) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Adware.EoRezo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Adware.EoRezo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> No action taken.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eoengine (Adware.EoRezo) -> No action taken.

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

      Dossier(s) infecté(s):
      C:\WINDOWS\system32\790151 (Trojan.BHO) -> No action taken.

      Fichier(s) infecté(s):
      C:\Program Files\EoRezo\EoEngine.exe (Adware.EoRezo) -> No action taken.
      c:\program files\EoRezo\EoAdv\EoAdv.dll (Adware.EoRezo) -> No action taken.
      c:\program files\EoRezo\EoAdv\EoRezoBHO.dll (Adware.EoRezo) -> No action taken.
      c:\Qoobox\quarantine\C\WINDOWS\system32\SYS32DLL.exe.vir (Trojan.KoobFace) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp125\A0071017.exe (Spyware.Zbot) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp125\A0071018.dll (Trojan.Vundo) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp125\A0071019.dll (Trojan.Vundo) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp125\A0071020.exe (Spyware.Zbot) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp125\A0071021.exe (Worm.Koobface) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp125\A0071022.exe (Worm.KoobFace) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp125\A0071023.dll (Trojan.BHO) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp125\A0071026.exe (Spyware.Zbot) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp127\A0072196.exe (Spyware.Zbot) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp127\A0072198.exe (Spyware.Zbot) -> No action taken.
      c:\system volume information\_restore{3e3a2b98-323f-40d8-9e4f-b510a8774382}\rp127\A0072334.exe (Trojan.KoobFace) -> No action taken.
      c:\WINDOWS\sto453190.dat (Worm.KoobFace) -> No action taken.
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il faut virer ce qui a été trouvé par malwarebyte!

    puis fais ad remover
    0
    1. dmgb34 Messages postés 66 Statut Membre
       
      C'est fait, je poste le rapport AD-Remover,

      Lancé à: 17:11:15, 12/07/2009 | Mode Normal | Option: SCAN
      Exécuté de: C:\Program Files\Ad-remover\
      Système d'exploitation: Microsoft® Windows XP™ v5.1.2600

      .
      Administrateur: Administrateur
      N'est pas administrateur: HelpAssistant
      N'est pas administrateur: Invité

      N'est pas administrateur: SUPPORT_388945a0 *Desactive*
      .
      ============== ÉLÉMENT(S) TROUVÉ(S) ==============
      .
      .
      HKCR\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
      HKCR\AppID\EoRezoBHO.DLL
      HKCR\EoRezoBHO.EoBho
      HKCR\EoRezoBHO.EoBho.1
      HKCU\Software\EoRezo
      HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
      HKLM\Software\Classes\AppID\EoRezoBHO.DLL
      HKLM\Software\Classes\EoRezoBHO.EoBho
      HKLM\Software\Classes\EoRezoBHO.EoBho.1
      HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
      HKU\S-1-5-21-1343024091-343818398-725345543-1003\Software\Eorezo
      .
      C:\DOCUME~1\PAQUIER\APPLIC~1\EoRezo
      C:\Program Files\EoRezo
      C:\DOCUME~1\PAQUIER\Cookies\paquier@ads.eorezo[1].txt
      C:\DOCUME~1\PAQUIER\Cookies\paquier@eorezo[1].txt
      C:\DOCUME~1\PAQUIER\Cookies\paquier@mir0.eorezo[1].txt
      C:\DOCUME~1\PAQUIER\Cookies\paquier@mir1.eorezo[1].txt
      C:\DOCUME~1\PAQUIER\Cookies\paquier@scache3.eorezo[2].txt
      C:\DOCUME~1\PAQUIER\Cookies\paquier@zwinky[2].txt
      .
      ============== Scan additionnel ==============
      .
      .
      .

      * Internet Explorer Version 6.0.2600.0000 *

      [HKEY_CURRENT_USER\..\Internet Explorer\Main]

      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://lo.st/#home

      [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
      Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

      [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

      Tabs: hxxp://lo.st/?tabs

      ============== Suspect (Cracks, Serials ... ) ==============

      .
      C:\Documents and Settings\PAQUIER\.housecall6.6\patch.exe
      .
      ===================================
      .
      2471 Octet(s) - C:\Ad-Report-SCAN.log
      .
      326 Fichier(s) - C:\DOCUME~1\PAQUIER\LOCALS~1\Temp
      6 Fichier(s) - C:\WINDOWS\Temp
      .
      1 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
      0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
      .
      Fin à: 17:18:25 | 12/07/2009
      0
  9. kduc Messages postés 1537 Statut Membre 133
     
    Salut à vous deux,

    Oui. Tu vires tout.

    Tu chaines avec Ad-Remover

    Et tu finalises avec le scan Kaspersky.

    Merci à jlpjlp pour son intervention opportune.
    0
    1. dmgb34 Messages postés 66 Statut Membre
       
      Bonsoir Kduc,

      Merci, j'ai utilisé AR- Remover, viré EOrezo, et posté le rapport de RSIT à jlpjlp. Merci pour tes conseils. Est ce que je peux utiliser antivir pour éliminer les trojans et vers ou bien le scan de kapersky sera plus efficace pour éventuellement détecter autre chose, et procéder à la suppression de toutes ces m........ ?

      A te lire
      0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok relance et supprime eorezo
    et colle le rapport

    puis

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
    1. dmgb34 Messages postés 66 Statut Membre
       
      Désolée jlpjlp, mais je n'ai pas compris ce qu'il fallait relancer Malewarebytes ? Entre temps, je télécharge Malewareremoval.

      A te lire,
      0
    2. dmgb34 Messages postés 66 Statut Membre
       
      Oops, je dois te paraître assez cruche ;). J'ai supprimé Eorezo engine, voici le rapport de RSIT :


      Je te souhaite bon courage pour la lecture de ce qui me paraît être du chinois.

      Ate lire,


      Logfile of random's system information tool 1.06 (written by random/random)
      Microsoft Windows XP Professionnel
      System drive C: has 103 GB (88%) free of 117 GB
      Total RAM: 255 MB (31% free)

      HijackThis download failed

      ======Registry dump======

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
      Adobe PDF Link Helper - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
      Skype add-on (mastermind) - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-02-04 1082880]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
      Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-07-07 1562448]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
      Windows Live Sign-in Helper - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 322368]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      {8E718888-423F-11D2-876E-00A0C9082467} - &Radio - C:\WINDOWS\System32\msdxm.ocx [2001-09-28 847900]
      {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Barre d'outils MSN - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll [2005-02-07 203464]

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      "WooCnxMon"=C:\PROGRA~1\Wanadoo\CnxMon.exe [2002-09-05 24576]
      "Demon"=C:\PROGRA~1\MESSAG~1\Demon.exe [2002-09-03 40960]
      "SpeedTouch USB Diagnostics"=C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe [2002-06-06 861184]
      "WOOWATCH"=C:\PROGRA~1\Wanadoo\Watch.exe [2002-09-05 20480]
      "WOOTASKBARICON"=C:\PROGRA~1\Wanadoo\TaskbarIcon.exe [2002-09-05 45056]
      "AudioDeck"=C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe [2007-08-09 528384]
      "MessengerPlus3"=C:\Program Files\MessengerPlus! 3\MsgPlus.exe [2009-01-07 190024]
      "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
      "ZoneAlarm Client"=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]
      "RealTray"=C:\Program Files\Real\RealPlayer\RealPlay.exe [2009-03-22 20480]
      "LVCOMS"=C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE [2002-09-20 90112]
      "LogitechGalleryRepair"=C:\Program Files\Logitech\ImageStudio\ISStart.exe [2002-09-11 155648]
      "LogitechImageStudioTray"=C:\Program Files\Logitech\ImageStudio\LogiTray.exe [2002-09-11 45056]
      "QuickTime Task"=C:\Program Files\QuickTime\qttask.exe [2009-04-04 413696]
      "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
      "EoEngine"= []

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe [2001-09-28 13312]
      "MessengerPlus3"=C:\Program Files\MessengerPlus! 3\MsgPlus.exe [2009-01-07 190024]
      "LDM"=C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe [2009-03-22 16384]
      "Skype"=C:\Program Files\Skype\\Phone\Skype.exe [2009-02-04 23975720]
      "msnmsgr"=C:\Program Files\MSN Messenger\msnmsgr.exe [2007-01-19 5674352]

      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
      Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
      "dontdisplaylastusername"=0
      "legalnoticecaption"=
      "legalnoticetext"=
      "shutdownwithoutlogon"=1
      "undockwithoutlogon"=1

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      "NoDriveTypeAutoRun"=323
      "NoDriveAutoRun"=67108863
      "NoDrives"=0

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      "NoDriveAutoRun"=
      "NoDriveTypeAutoRun"=
      "NoDrives"=

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

      ======List of files/folders created in the last 3 months======

      2009-07-12 18:38:59 ----D---- C:\Program Files\trend micro
      2009-07-12 18:38:57 ----D---- C:\rsit
      2009-07-12 17:10:33 ----D---- C:\Program Files\Ad-remover
      2009-07-12 15:54:32 ----D---- C:\Documents and Settings\PAQUIER\Application Data\Malwarebytes
      2009-07-12 15:54:22 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
      2009-07-12 15:54:22 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2009-07-12 11:17:12 ----D---- C:\WINDOWS\temp
      2009-07-12 11:17:10 ----A---- C:\ComboFix.txt
      2009-07-12 11:02:00 ----A---- C:\Boot.bak
      2009-07-12 11:01:54 ----RASHD---- C:\cmdcons
      2009-07-12 10:59:26 ----A---- C:\WINDOWS\zip.exe
      2009-07-12 10:59:26 ----A---- C:\WINDOWS\SWXCACLS.exe
      2009-07-12 10:59:26 ----A---- C:\WINDOWS\SWSC.exe
      2009-07-12 10:59:26 ----A---- C:\WINDOWS\SWREG.exe
      2009-07-12 10:59:26 ----A---- C:\WINDOWS\sed.exe
      2009-07-12 10:59:26 ----A---- C:\WINDOWS\PEV.exe
      2009-07-12 10:59:26 ----A---- C:\WINDOWS\NIRCMD.exe
      2009-07-12 10:59:26 ----A---- C:\WINDOWS\grep.exe
      2009-07-12 10:59:20 ----D---- C:\WINDOWS\ERDNT
      2009-07-11 23:07:11 ----D---- C:\Qoobox
      2009-07-11 19:39:45 ----D---- C:\Documents and Settings\PAQUIER\Application Data\Sun
      2009-07-10 18:25:57 ----D---- C:\Program Files\Avira
      2009-07-10 18:25:57 ----D---- C:\Documents and Settings\All Users\Application Data\Avira
      2009-06-08 23:21:05 ----D---- C:\WINDOWS\Favoris
      2009-05-01 19:20:09 ----D---- C:\Program Files\Fichiers communs\Skype
      2009-05-01 18:49:22 ----D---- C:\Documents and Settings\PAQUIER\Application Data\Skype
      2009-05-01 18:48:42 ----RD---- C:\Program Files\Skype
      2009-04-16 19:53:40 ----A---- C:\WINDOWS\System32\kbdkor.dll
      2009-04-16 19:53:39 ----A---- C:\WINDOWS\System32\kbdjpn.dll
      2009-04-16 19:53:39 ----A---- C:\WINDOWS\System32\kbd106.dll
      2009-04-16 19:53:39 ----A---- C:\WINDOWS\System32\kbd103.dll
      2009-04-16 19:53:39 ----A---- C:\WINDOWS\System32\kbd101c.dll
      2009-04-16 19:53:39 ----A---- C:\WINDOWS\System32\kbd101b.dll

      ======List of files/folders modified in the last 3 months======

      2009-07-12 18:38:59 ----RD---- C:\Program Files
      2009-07-12 18:31:32 ----D---- C:\WINDOWS\Internet Logs
      2009-07-12 18:31:03 ----D---- C:\WINDOWS\System32\ias
      2009-07-12 18:30:25 ----D---- C:\WINDOWS\Debug
      2009-07-12 18:29:03 ----A---- C:\WINDOWS\SchedLgU.Txt
      2009-07-12 18:27:36 ----D---- C:\Program Files\Wanadoo
      2009-07-12 17:08:07 ----D---- C:\Documents and Settings\PAQUIER\Application Data\skypePM
      2009-07-12 17:05:30 ----D---- C:\WINDOWS\System32\drivers
      2009-07-12 17:01:49 ----D---- C:\WINDOWS\system32
      2009-07-12 17:01:49 ----D---- C:\WINDOWS
      2009-07-12 15:47:12 ----D---- C:\Documents and Settings\PAQUIER\Application Data\EoRezo
      2009-07-12 11:33:50 ----D---- C:\WINDOWS\System32\CatRoot2
      2009-07-12 11:15:40 ----RSHDC---- C:\WINDOWS\System32\dllcache
      2009-07-12 11:14:43 ----D---- C:\WINDOWS\Prefetch
      2009-07-12 11:14:43 ----A---- C:\WINDOWS\system.ini
      2009-07-12 11:10:20 ----D---- C:\WINDOWS\System32\config
      2009-07-12 11:06:56 ----D---- C:\WINDOWS\AppPatch
      2009-07-12 11:06:48 ----D---- C:\Program Files\Fichiers communs
      2009-07-12 11:02:00 ----RASH---- C:\boot.ini
      2009-07-11 20:39:59 ----D---- C:\Program Files\Internet Explorer
      2009-07-11 20:04:30 ----SD---- C:\WINDOWS\Downloaded Program Files
      2009-07-11 18:19:24 ----SHD---- C:\WINDOWS\Installer
      2009-07-11 18:19:22 ----D---- C:\WINDOWS\WinSxS
      2009-07-11 18:19:19 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared
      2009-07-10 20:00:18 ----D---- C:\WINDOWS\System32\wbem
      2009-07-10 20:00:17 ----D---- C:\WINDOWS\Registration
      2009-07-10 18:43:29 ----D---- C:\WINDOWS\System32\Restore
      2009-07-09 00:33:37 ----D---- C:\Documents and Settings
      2009-06-27 13:43:39 ----D---- C:\WINDOWS\Minidump
      2009-06-17 22:32:56 ----A---- C:\WINDOWS\System32\PerfStringBackup.INI
      2009-05-01 19:20:10 ----D---- C:\Documents and Settings\All Users\Application Data\Skype
      2009-04-15 12:53:06 ----D---- C:\WINDOWS\Help
      2009-04-15 11:28:48 ----HD---- C:\WINDOWS\inf

      ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

      R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2009-02-13 45416]
      R1 avipbb;avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [2009-03-30 96104]
      R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
      R1 StarOpen;StarOpen; C:\WINDOWS\System32\drivers\StarOpen.sys [2006-07-24 5632]
      R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
      R2 tmcomm;tmcomm; \??\C:\WINDOWS\System32\drivers\tmcomm.sys []
      R3 alcan5wn;Alcatel SpeedTouch USB ADSL PPP Networking Driver (NDISWAN); C:\WINDOWS\System32\DRIVERS\alcan5wn.sys [2002-06-06 53168]
      R3 alcaudsl;Alcatel Speed Touch ADSL Modem ATM Transport; C:\WINDOWS\System32\DRIVERS\alcaudsl.sys [2002-06-06 743136]
      R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2001-09-28 54016]
      R3 FETNDIS;Pilote NT de carte VIA PCI 10/100Mo Fast Ethernet; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]
      R3 LVUSBSta;Logitech USB Monitor Filter; C:\WINDOWS\system32\drivers\LVUSBSta.sys [2008-07-26 41752]
      R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
      R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2001-09-28 56960]
      R3 PID_PEPI;Logitech QuickCam IM(PID_PEPI); C:\WINDOWS\System32\DRIVERS\LV302V32.SYS [2008-07-26 2570520]
      R3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2001-08-17 56448]
      R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2001-08-17 24960]
      R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2001-09-28 50688]
      R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2001-09-28 18944]
      R3 VIAudio;Vinyl AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\vinyl97.sys [2007-06-27 207488]
      S3 catchme;catchme; \??\C:\DOCUME~1\PAQUIER\LOCALS~1\Temp\catchme.sys []
      S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2001-08-17 16256]
      S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2003-05-29 743887]
      S3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
      S3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
      S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2001-08-17 4992]
      S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2001-08-17 83712]
      S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2001-08-17 8064]
      S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2001-08-17 10752]
      S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\WINDOWS\System32\DRIVERS\sscdbus.sys [2005-12-22 80272]
      S3 sscdmdfl;SAMSUNG CDMA Modem Filter; C:\WINDOWS\System32\DRIVERS\sscdmdfl.sys [2005-12-22 10864]
      S3 sscdmdm;SAMSUNG CDMA Modem Drivers; C:\WINDOWS\System32\DRIVERS\sscdmdm.sys [2005-12-22 137884]
      S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2001-08-17 14592]
      S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 21760]
      S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2001-08-17 18560]
      S4 IntelIde;IntelIde; C:\WINDOWS\System32\drivers\IntelIde.sys []

      ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

      R2 antivirschedulerservice;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]
      R2 antivirservice;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
      R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
      S3 getPlus(R) Helper;getPlus(R) Helper; C:\Program Files\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752]
      S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-09 138168]
      S3 usnjsvc;Messenger Sharing Folders USN Journal Reader service; C:\Program Files\MSN Messenger\usnsvc.exe [2007-01-19 97136]

      -----------------EOF-----------------
      0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok fais le message 14 puis le 12 qui dit de relance ad remover et de virer eorezo puis mets rsit
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."

    -----------------

    colle ensuite un rapport avec antivir
    0
    1. dmgb34 Messages postés 66 Statut Membre
       
      Tu veux dire que je dois créer ce dossier sous la racine ? Au dessus de Documents and settings ?

      Je ne comprends pas ce que signifie coller un rapport dans antivir ? Ce serait gentil de me décrire la manoeuvre plus précisément.

      A te lire,
      0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    non je demande a ce que tu lance antivir pour scanner ton ordi en entier et que tu colle le rapport d'antivir obtenu
    0
    1. dmgb34 Messages postés 66 Statut Membre
       
      Voici le rapport antivir :

      Avira AntiVir Personal
      Date de création du fichier de rapport : dimanche 12 juillet 2009 21:21

      La recherche porte sur 1515293 souches de virus.

      Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
      Numéro de série : 0000149996-ADJIE-0000001
      Plateforme : Windows XP
      Version de Windows : (plain) [5.1.2600]
      Mode Boot : Démarré normalement
      Identifiant : SYSTEM
      Nom de l'ordinateur : PAQUIER-PYXVBVR

      Informations de version :
      BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
      AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
      AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
      LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
      LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
      ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
      ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 09:30:21
      ANTIVIR2.VDF : 7.1.4.198 778752 Bytes 08/07/2009 09:30:27
      ANTIVIR3.VDF : 7.1.4.220 504320 Bytes 11/07/2009 09:30:30
      Version du moteur : 8.2.0.204
      AEVDF.DLL : 8.1.1.1 106868 Bytes 12/07/2009 09:30:44
      AESCRIPT.DLL : 8.1.2.13 426362 Bytes 12/07/2009 09:30:43
      AESCN.DLL : 8.1.2.3 127347 Bytes 12/07/2009 09:30:42
      AERDL.DLL : 8.1.2.2 438642 Bytes 12/07/2009 09:30:42
      AEPACK.DLL : 8.1.3.18 401783 Bytes 12/07/2009 09:30:40
      AEOFFICE.DLL : 8.1.0.38 196987 Bytes 12/07/2009 09:30:39
      AEHEUR.DLL : 8.1.0.137 1823095 Bytes 12/07/2009 09:30:38
      AEHELP.DLL : 8.1.3.6 205174 Bytes 12/07/2009 09:30:33
      AEGEN.DLL : 8.1.1.48 348532 Bytes 12/07/2009 09:30:32
      AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
      AECORE.DLL : 8.1.6.12 180599 Bytes 12/07/2009 09:30:31
      AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
      AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
      AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
      AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
      AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
      AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
      AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
      SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
      SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
      NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
      RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
      RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

      Configuration pour la recherche actuelle :
      Nom de la tâche...............................: Contrôle intégral du système
      Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
      Documentation.................................: bas
      Action principale.............................: interactif
      Action secondaire.............................: ignorer
      Recherche sur les secteurs d'amorçage maître..: marche
      Recherche sur les secteurs d'amorçage.........: marche
      Secteurs d'amorçage...........................: C:,
      Recherche dans les programmes actifs..........: marche
      Recherche en cours sur l'enregistrement.......: marche
      Recherche de Rootkits.........................: marche
      Contrôle d'intégrité de fichiers système......: arrêt
      Fichier mode de recherche.....................: Tous les fichiers
      Recherche sur les archives....................: marche
      Limiter la profondeur de récursivité..........: 20
      Archive Smart Extensions......................: marche
      Heuristique de macrovirus.....................: marche
      Heuristique fichier...........................: moyen
      Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

      Début de la recherche : dimanche 12 juillet 2009 21:21

      La recherche d'objets cachés commence.
      '25005' objets ont été contrôlés, '0' objets cachés ont été trouvés.

      La recherche sur les processus démarrés commence :
      Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
      Processus de recherche 'WLLoginProxy.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
      Processus de recherche 'Watch.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'ComComp.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'EspaceWanadoo.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'LowLight.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'backWeb-8876480.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'LogiTray.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'LVComS.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'realplay.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
      Processus de recherche 'MsgPlus.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'ADeck.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'dragdiag.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'Demon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'CnxMon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
      '40' processus ont été contrôlés avec '40' modules

      La recherche sur les secteurs d'amorçage maître commence :
      Secteur d'amorçage maître HD0
      [INFO] Aucun virus trouvé !

      La recherche sur les secteurs d'amorçage commence :
      Secteur d'amorçage 'C:\'
      [INFO] Aucun virus trouvé !

      La recherche sur les renvois aux fichiers exécutables (registre) commence :
      Le registre a été contrôlé ( '55' fichiers).


      La recherche sur les fichiers sélectionnés commence :

      Recherche débutant dans 'C:\'
      C:\pagefile.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      [REMARQUE] Ce fichier est un fichier système Windows.
      [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
      C:\Documents and Settings\PAQUIER\Mes documents\utilitaires pour détecter les virus\combo-fix.exe
      [0] Type d'archive: RAR SFX (self extracting)
      --> 32788R22FWJFW\n.pif
      [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
      C:\System Volume Information\_restore{3E3A2B98-323F-40D8-9E4F-B510A8774382}\RP128\A0072544.exe
      [RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
      C:\System Volume Information\_restore{3E3A2B98-323F-40D8-9E4F-B510A8774382}\RP128\A0072545.dll
      [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
      C:\System Volume Information\_restore{3E3A2B98-323F-40D8-9E4F-B510A8774382}\RP128\A0072556.dll
      [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
      C:\System Volume Information\_restore{3E3A2B98-323F-40D8-9E4F-B510A8774382}\RP129\A0072655.exe
      [0] Type d'archive: RAR SFX (self extracting)
      --> 32788R22FWJFW\n.pif
      [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)

      Début de la désinfection :
      C:\Documents and Settings\PAQUIER\Mes documents\utilitaires pour détecter les virus\combo-fix.exe
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac742c2.qua' !
      C:\System Volume Information\_restore{3E3A2B98-323F-40D8-9E4F-B510A8774382}\RP128\A0072544.exe
      [RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8a428a.qua' !
      C:\System Volume Information\_restore{3E3A2B98-323F-40D8-9E4F-B510A8774382}\RP128\A0072545.dll
      [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8a428b.qua' !
      C:\System Volume Information\_restore{3E3A2B98-323F-40D8-9E4F-B510A8774382}\RP128\A0072556.dll
      [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49237394.qua' !
      C:\System Volume Information\_restore{3E3A2B98-323F-40D8-9E4F-B510A8774382}\RP129\A0072655.exe
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49241a8c.qua' !


      Fin de la recherche : dimanche 12 juillet 2009 22:06
      Temps nécessaire: 44:26 Minute(s)

      La recherche a été effectuée intégralement

      1866 Les répertoires ont été contrôlés
      83985 Des fichiers ont été contrôlés
      5 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      5 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
      83979 Fichiers non infectés
      688 Les archives ont été contrôlées
      1 Avertissements
      6 Consignes
      25005 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés
      0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    vire ce qui est en quarantaine dans antivir

    puis désactive ta restauration puis redemarre ton ordi puis réactive la

    https://www.informatruc.com

    ________________

    colle un rapport hijakchits comme demandé déjà

    puis dis si encore des soucis avec ton pc
    0
    1. dmgb34
       
      J'ai procédé comme tu m'as dit. Voici le rapport Hijackthis

      Crois tu que cela soit correct ?
      Après une lecture rapide, d'après ce que j'ai compris du blog de claude, ce seraient les valeurs 023 qui n'iraient pas ? non

      Dans tous les cas l'antivirus fonctionne et fait son office. C'est déjà mieux qu'il y 2 jours !

      Merci beaucoup pour ton aide, j'ai appris plein de choses.

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:32:17, on 12/07/2009
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\PROGRA~1\Wanadoo\CnxMon.exe
      C:\PROGRA~1\MESSAG~1\Demon.exe
      C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
      C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
      C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
      C:\Program Files\MessengerPlus! 3\MsgPlus.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\Real\RealPlayer\RealPlay.exe
      C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
      C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\Program Files\Logitech\ImageStudio\LowLight.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Skype\Plugin Manager\skypePM.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\Program Files\Wanadoo\Watch.exe
      C:\Documents and Settings\PAQUIER\Bureau\eden.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st/#home
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
      O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
      O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
      O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
      O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
      O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
      O16 - DPF: {215b8138-a3cf-44c5-803f-8226143cfc0a} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: Avira AntiVir Planificateur (antivirschedulerservice) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
      O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

      --
      0
  15. dmgb34 Messages postés 66 Statut Membre
     
    Cela signifie que j'ai pas de boulot à faire sur cette machine :( !

    Merci encore pour ton aide et bonne nuit !
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok c'est clean

    mais il faut mettre a jour windows avec le sp2 ou sp3 et internet explorer avec la version 7 ou 8: windows est légal?

    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    _____________
    *sinon pour virer ce qui a été utilisé:

    lance tool cleaner
    http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
    0
    1. dmgb34 Messages postés 66 Statut Membre
       
      Bonjour jlpjlp,

      Eh, bien non, c'est là le hic :( , sinon j'aurais téléchargé les MAJ XP. Donc je n'ai pas beaucoup de solutions à lui proposer....

      Merci encore pour le dernier lien envoyé.

      Maintenant que je suis à nouveau sur mon ordi, je vais faire l'expérience de comparer avast et antivir !

      A ta lire,
      0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    encore des soucis?

    pour virer ce qui a été utilisé lance tool cleaner

    http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

    pour protéger gratos ton ordi
    http://www.commentcamarche.net/telecharger/logiciel 4 securite

    mettre un antivirus

    ANTIVIR ou ùAVG8 ou (avast)
    https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
    -------------
    des anti-espions :
    MALWAREBYTE ANTIMALWARE + SPYBOT
    +
    SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

    --------
    un pare feu :
    COMODO ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

    http://www.clubic.com/telecharger-fiche11071-sunbelt-persona­l-firewall-e(...)
    https://manuelsdaide.com/contact/
    http://www.open-files.com/forum/index.php?showtopic=29277
    https://www.commentcamarche.net/telecharger/ 157 zonealarm

    -----------

    CCLEANER pour effacer les traces de surf

    -----------
    passer une vaccination de findykill pour eviter les infections transitant par les supports externes

    http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe
    0