Your computer in infected!

jiji1206 Messages postés 40 Statut Membre -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,
depuis hier jai une croix rouge dans la barre des tache qui dis your computer is infected! wondows has detected spyware infection. jai fait tout ce qu'il ya dans dautre topic du meme genre et le rapport smitfraudfix dit :
SmitFraudFix v2.416

Rapport fait à 18:24:31,76, 18/08/2009
Executé à partir de C:\Documents and Settings\jiji\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\msword98.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\jiji\msword98.exe
C:\Documents and Settings\jiji\msword98.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jiji\Bureau\avast_home_setup.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\braviax.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jiji\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\braviax.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jiji

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jiji\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jiji\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jiji\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="cru629.dat"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

C:\WINDOWS\system32\drivers\beep.sys infecté !

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 4.2.2.3
DNS Server Search Order: 4.2.2.4

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{187DA181-0070-402D-B7D6-F855FAD4ED04}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3E515C36-4025-48DE-A26B-4F5DBEDB5330}: NameServer=4.2.2.3 4.2.2.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{187DA181-0070-402D-B7D6-F855FAD4ED04}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3E515C36-4025-48DE-A26B-4F5DBEDB5330}: NameServer=4.2.2.3 4.2.2.4
HKLM\SYSTEM\CS3\Services\Tcpip\..\{187DA181-0070-402D-B7D6-F855FAD4ED04}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
svp que dois je faire?
ps : jai déja démaré smitfraud fix en mode sans echec et mis loption 2
Configuration: Windows XP Internet Explorer 6.0

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème d'infection détecté sur un système Windows XP, avec une alerte affichant 'Your computer is infected' et un rapport SmitFraudFix répertoriant des processus et des clés potentiellement infectés. Des solutions essentielles discutées incluent l'exécution de ComboFix, idéalement en mode sans échec, et la vérification via RSIT pour identifier les traces résiduelles et les éléments malveillants. Plusieurs échanges recommandent d'utiliser ComboFix et de sauvegarder les données importantes avant toute manipulation, car les nettoyages peuvent affecter des éléments non infectés et potentiellement corriger d'autres paramètres système. En cas de réapparition des infections, une ressource suggère la création d'un disque boot Windows XP (KB310994 SP2 Pro Boot Disk FRA) pour un nettoyage hors système et une réinstallation éventuelle.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    /!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

    --> Télécharge ComboFix (de sUBs) sur ton Bureau.
    --> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
    --> Il va te demander d'installer la console de récupération : accepte.
    --> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    0
  2. jiji1206 Messages postés 40 Statut Membre
     
    jai fait ce que tu ma demandé voila le rapport

    ComboFix 09-08-10.06 - jiji 18/08/2009 18:44.1.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.58.1036.18.223.116 [GMT 2:00]
    Running from: c:\documents and settings\jiji\Bureau\ComboFix.exe

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\jiji\LOCALS~1\Temp\_av_inet.tm~a02360\setupfre.exe.dld
    c:\documents and settings\jiji\Application Data\wiaserva.log
    c:\documents and settings\jiji\Local Settings\Temp\_av_inet.tm~a02360\setupfre.exe.dld
    c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
    c:\windows\braviax.exe
    c:\windows\clofghls.dll
    c:\windows\system32\404Fix.exe
    c:\windows\system32\Agent.OMZ.Fix.exe
    c:\windows\system32\braviax.exe
    c:\windows\system32\dllcache\figaro.sys
    c:\windows\system32\drivers\e866357e.sys
    c:\windows\system32\dumphive.exe
    c:\windows\system32\IEDFix.C.exe
    c:\windows\system32\IEDFix.exe
    c:\windows\system32\o4Patch.exe
    c:\windows\system32\Process.exe
    c:\windows\system32\SrchSTS.exe
    c:\windows\system32\tmp.reg
    c:\windows\system32\VACFix.exe
    c:\windows\system32\VCCLSID.exe
    c:\windows\system32\wisdstr.exe
    c:\windows\system32\WS2Fix.exe

    Infected copy of c:\windows\system32\drivers\beep.sys was found and disinfected
    Restored copy from - c:\system volume information\_restore{2FC3D582-AEC5-4E05-86E8-1EEC0EDA06CD}\RP5\A0001228.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_e866357e

    ((((((((((((((((((((((((( Files Created from 2009-07-18 to 2009-08-18 )))))))))))))))))))))))))))))))
    .

    2009-08-18 16:47 . 2002-08-30 12:00 4224 ----a-w- c:\windows\system32\drivers\beep.sys
    2009-08-18 14:49 . 2002-08-30 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
    2009-08-18 14:48 . 2004-08-03 20:32 455168 -c--a-w- c:\windows\system32\dllcache\tintsetp.exe
    2009-08-18 14:47 . 2004-08-19 14:09 15872 -c--a-w- c:\windows\system32\dllcache\inetin51.exe
    2009-08-18 14:46 . 2002-08-30 12:00 19456 -c--a-w- c:\windows\system32\dllcache\agt0404.dll
    2009-08-18 14:38 . 2001-08-17 18:13 27165 ----a-w- c:\windows\system32\drivers\fetnd5.sys
    2009-08-18 14:36 . 2002-08-30 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
    2009-08-18 14:36 . 2002-08-30 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
    2009-08-18 14:36 . 2002-08-30 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
    2009-08-18 14:36 . 2002-08-30 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
    2009-08-18 12:06 . 2009-08-18 12:06 -------- d-----w- c:\program files\Sunbelt Software
    2009-08-18 11:11 . 2009-08-18 11:11 138 ----a-w- c:\documents and settings\jiji\delself.bat
    2009-08-17 22:48 . 2009-02-13 09:31 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-08-17 22:13 . 2009-08-17 22:13 14136 ----a-w- c:\documents and settings\jijii\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-08-17 22:11 . 2009-08-17 23:12 -------- d-----w- c:\documents and settings\jijii\Contacts
    2009-08-17 21:50 . 2009-08-17 21:50 26686 ----a-w- c:\windows\system32\msword98.exe
    2009-08-17 21:50 . 2009-08-17 21:50 26686 ----a-w- c:\documents and settings\jiji\msword98.exe
    2009-08-15 15:25 . 2009-08-15 15:25 15240 ----a-w- c:\documents and settings\jiji\Application Data\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
    2009-08-14 15:37 . 2009-08-14 15:37 -------- d-s---w- c:\documents and settings\jijii\UserData
    2009-08-09 11:27 . 2009-08-09 11:27 -------- d-----w- c:\documents and settings\jiji\Local Settings\Application Data\Adobe
    2009-08-09 11:09 . 2009-08-09 11:10 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2009-08-05 13:49 . 2009-08-05 13:56 -------- d--h--w- c:\windows\ShellNew
    2009-08-05 13:49 . 2009-08-05 13:49 -------- d-----w- c:\documents and settings\jiji\Local Settings\Application Data\Microsoft Help
    2009-08-05 13:49 . 2009-08-05 13:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2009-08-05 13:48 . 2009-08-05 13:48 -------- d--h--r- C:\MSOCache
    2009-08-03 18:42 . 2009-08-03 18:42 -------- d-----w- c:\documents and settings\jiji\Local Settings\Application Data\Identities
    2009-08-01 11:15 . 2009-08-18 11:51 -------- d-----w- C:\Downloads
    2009-08-01 11:14 . 2009-08-18 12:04 -------- d-----w- c:\program files\BitComet
    2009-07-31 21:20 . 2009-07-31 21:20 -------- d-----w- c:\documents and settings\jiji\Local Settings\Application Data\Opera
    2009-07-31 21:20 . 2009-08-01 13:41 -------- d-----w- c:\program files\Opera
    2009-07-27 19:47 . 2009-08-16 11:08 -------- d-----w- c:\documents and settings\jiji\Contacts
    2009-07-27 19:46 . 2009-07-27 19:46 -------- d-----w- c:\program files\MSN Messenger
    2009-07-27 19:22 . 2009-07-27 19:22 -------- d-s---w- c:\documents and settings\jiji\UserData
    2009-07-24 14:56 . 2009-07-24 14:56 -------- d-----w- c:\program files\Yahoo!
    2009-07-24 14:55 . 2009-07-24 14:55 -------- d-----w- c:\program files\DIFX
    2009-07-24 14:55 . 2009-07-27 19:47 -------- dc----w- c:\windows\system32\DRVSTORE
    2009-07-24 14:51 . 2009-08-08 13:51 14136 ----a-w- c:\documents and settings\jiji\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-07-24 14:15 . 2009-07-24 14:15 407129 ----a-w- c:\windows\MarioForever_Toolbar_Uninstaller_9437.exe
    2009-07-24 14:15 . 2009-07-24 14:15 -------- d-----w- c:\program files\Mario Forever Toolbar
    2009-07-24 14:15 . 2009-08-17 22:46 -------- d-----w- c:\program files\Mario Forever

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-08-18 15:01 . 2004-08-03 21:15 619200 ----a-w- c:\windows\system32\drivers\ntfs.sys
    2009-08-18 14:57 . 2002-08-30 12:00 48584 ----a-w- c:\windows\system32\perfc00C.dat
    2009-08-18 14:57 . 2002-08-30 12:00 367588 ----a-w- c:\windows\system32\perfh00C.dat
    2009-08-18 14:44 . 2009-07-23 22:29 23032 ----a-w- c:\windows\system32\emptyregdb.dat
    2009-07-28 17:33 . 2009-07-23 22:31 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2009-07-24 14:55 . 2009-07-23 22:38 -------- d-----w- c:\program files\Fichiers communs\InstallShield
    2009-07-24 14:55 . 2009-07-23 22:39 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-07-23 22:42 . 2009-07-23 22:42 -------- d-----w- c:\program files\Realtek Sound Manager
    2009-07-23 22:42 . 2009-07-23 22:42 -------- d-----w- c:\program files\AvRack
    2009-07-23 22:42 . 2009-07-23 22:42 -------- d-----w- c:\program files\Realtek AC97
    2009-07-23 22:40 . 2009-07-23 22:40 -------- d-----w- c:\program files\S3
    2009-07-23 22:39 . 2009-07-23 22:39 -------- d-----w- c:\program files\VIA
    2009-07-23 22:32 . 2009-07-23 22:32 -------- d-----w- c:\program files\microsoft frontpage
    2009-07-23 22:31 . 2009-07-23 22:31 -------- d-----w- c:\program files\Services en ligne
    .

    ------- Sigcheck -------

    [-] 2009-08-18 15:01 619200 5D407322AA69AC6E7B17C81B48DEB327 c:\windows\system32\dllcache\ntfs.sys
    [-] 2009-08-18 15:01 619200 5D407322AA69AC6E7B17C81B48DEB327 c:\windows\system32\drivers\ntfs.sys
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
    "msword98"="c:\documents and settings\jiji\msword98.exe" [2009-08-17 26686]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "msword98"="c:\windows\system32\msword98.exe" [2009-08-17 26686]
    "VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-08-03 53248]
    "VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2006-08-30 180224]
    "SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-03-01 577536]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

    c:\documents and settings\jiji\Menu D‚marrer\Programmes\D‚marrage\
    wbhwin32.exe [2004-8-19 16896]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "9801:TCP"= 9801:TCP:BitComet 9801 TCP
    "9801:UDP"= 9801:UDP:BitComet 9801 UDP

    R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [24/07/2009 00:39 11264]
    .
    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://www.google.com
    mStart Page = hxxp://www.google.com
    TCP: {3E515C36-4025-48DE-A26B-4F5DBEDB5330} = 4.2.2.3 4.2.2.4
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-08-18 18:49
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Completion time: 2009-08-18 18:50 - machine was rebooted
    ComboFix-quarantined-files.txt 2009-08-18 16:50

    Pre-Run: 36 611 072 000 octets libres
    Post-Run: 36 910 018 560 octets libres

    159
    0
  3. jiji1206 Messages postés 40 Statut Membre
     
    comment je fait pour linstallé ? ca cafiche pa quand je double clik sur combofix .
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    --> Double-clique sur RSIT.exe afin de lancer le programme.
    (Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

    --> Clique sur Continue à l'écran Disclaimer.

    --> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    --> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : les rapports sont sauvegardés dans le dossier C:\rsit.
    0
  6. jiji1206 Messages postés 40 Statut Membre
     
    re alors voici le contenu de log.txt :
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by jiji at 2009-08-18 19:13:10
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 35 GB (88%) free of 40 GB
    Total RAM: 223 MB (39% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:14:51, on 18/08/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\VTtrayp.exe
    C:\WINDOWS\system32\msword98.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\jiji\msword98.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\jiji\Bureau\RSIT.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\trend micro\jiji.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [msword98] C:\Documents and Settings\jiji\msword98.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: wbhwin32.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [searching] Rechercher à partir de la barre d'adresses
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3E515C36-4025-48DE-A26B-4F5DBEDB5330}: NameServer = 4.2.2.3 4.2.2.4
    O20 - AppInit_DLLs: cru629.dat
    0
  7. jiji1206 Messages postés 40 Statut Membre
     
    et voila info.txt
    info.txt logfile of random's system information tool 1.06 2009-08-18 19:14:54

    ======Uninstall list======

    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Mario Forever Toolbar-->"C:\WINDOWS\MarioForever_Toolbar_Uninstaller_9437.exe" _?=C:\Program Files\Mario Forever Toolbar
    Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
    Microsoft Office Groove MUI (French) 2007-->MsiExec.exe /X{90120000-00BA-040C-0000-0000000FF1CE}
    Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
    Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
    Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
    Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
    Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
    Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
    Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
    Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
    Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
    Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_1F9DE4E49C97F59EE9F75C34E0E91E568FC9EEB2\amdk8.inf
    Realtek AC'97 Audio-->Alcrmv.exe -r -m
    VIA Platform Device Manager-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
    VIA/S3G Display Driver 6.14.10.0331-->C:\PROGRA~1\S3\UChromeP\s3minset.exe /u UChromeP.uns
    Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}

    ======System event log======

    Computer Name: JIJI1206
    Event Code: 17
    Message: Fournisseur de temps NtpClient : une erreur s'est produite lors de la recherche DNS de
    l'homologue manuellement configuré 'time.windows.com,0x1'. NtpClient va essayer à nouveau
    la recherche DNS dans 15 minutes.
    L'erreur était : Une opération a été tentée sur un hôte impossible à atteindre. (0x80072751)

    Record Number: 107
    Source Name: W32Time
    Time Written: 20090724005023.000000+120
    Event Type: error
    User:

    Computer Name: JIJI1206
    Event Code: 1007
    Message: Votre ordinateur a automatiquement configuré l'adresse IP pour la
    carte avec l'adresse réseau 02004C4F4F50. L'adresse IP utilisée est 169.254.25.129.

    Record Number: 106
    Source Name: Dhcp
    Time Written: 20090724005023.000000+120
    Event Type: warning
    User:

    Computer Name: JIJI1206
    Event Code: 29
    Message: Le fournisseur de temps NtpClient est configuré pour acquérir le temps à partir d'une
    ou plusieurs sources de temps, cependant aucune source n'est actuellement accessible.
    Aucune tentative pour en contacter une ne sera effectuée d'ici 14 minutes.
    NtpClient n'a pas de source de temps précis.

    Record Number: 105
    Source Name: W32Time
    Time Written: 20090724004721.000000+120
    Event Type: error
    User:

    Computer Name: JIJI1206
    Event Code: 17
    Message: Fournisseur de temps NtpClient : une erreur s'est produite lors de la recherche DNS de
    l'homologue manuellement configuré 'time.windows.com,0x1'. NtpClient va essayer à nouveau
    la recherche DNS dans 15 minutes.
    L'erreur était : Une opération a été tentée sur un hôte impossible à atteindre. (0x80072751)

    Record Number: 104
    Source Name: W32Time
    Time Written: 20090724004721.000000+120
    Event Type: error
    User:

    Computer Name: JIJI1206
    Event Code: 1007
    Message: Votre ordinateur a automatiquement configuré l'adresse IP pour la
    carte avec l'adresse réseau 02004C4F4F50. L'adresse IP utilisée est 169.254.25.129.

    Record Number: 103
    Source Name: Dhcp
    Time Written: 20090724004721.000000+120
    Event Type: warning
    User:

    =====Application event log=====

    Computer Name: JIJI1206
    Event Code: 12001
    Message: The Messenger Sharing USN Journal Reader service started successfully.

    Record Number: 519
    Source Name: usnjsvc
    Time Written: 20090811185321.000000+120
    Event Type:
    User:

    Computer Name: JIJI1206
    Event Code: 1000
    Message:
    Record Number: 512
    Source Name: Windows Live Messenger
    Time Written: 20090811171456.000000+120
    Event Type: error
    User:

    Computer Name: JIJI1206
    Event Code: 12001
    Message: The Messenger Sharing USN Journal Reader service started successfully.

    Record Number: 509
    Source Name: usnjsvc
    Time Written: 20090811163325.000000+120
    Event Type:
    User:

    Computer Name: JIJI1206
    Event Code: 1002
    Message: Application bloquée msnmsgr.exe, version 8.1.178.0, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

    Record Number: 504
    Source Name: Application Hang
    Time Written: 20090811162647.000000+120
    Event Type: error
    User:

    Computer Name: JIJI1206
    Event Code: 12001
    Message: The Messenger Sharing USN Journal Reader service started successfully.

    Record Number: 496
    Source Name: usnjsvc
    Time Written: 20090811135410.000000+120
    Event Type:
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
    "PROCESSOR_REVISION"=0605
    "NUMBER_OF_PROCESSORS"=2
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF----------------
    0
  8. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Glisse ce fichier sur ComboFix :
    http://www.microsoft.com/downloads/details.aspx?FamilyId=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=fr
    0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Je crois que mon message n'est pas passé.
    0
  10. jiji1206 Messages postés 40 Statut Membre
     
    jai pa compri comment ca je le glisse? DSL je suis pa un as de linformatique
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu prends le fichier et tu le déplaces sur ComboFix.
    0
  12. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut a vous

    pour suivre

    @+
    0
  13. jiji1206 Messages postés 40 Statut Membre
     
    di je le fai glissé sur combofix ou sur RSIT?
    0
  14. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ComboFix.
    0
  15. jiji1206 Messages postés 40 Statut Membre
     
    ensuite? ya rien aucune fenetre nesafiche cé normal?
    0
  16. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    http://img511.imageshack.us/img511/1874/animation2ko5.gif
    0
  17. jiji1206 Messages postés 40 Statut Membre
     
    ca marche pa , jai éssayé de télécharger a nouveau mais cé pareille , jai redémarré lordi , ca marche toujours pas
    0
  18. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Refais un scan avec ComboFix.
    0
  19. jiji1206 Messages postés 40 Statut Membre
     
    YA ke le log ki est aparu

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by jiji at 2009-08-18 20:09:23
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 35 GB (87%) free of 40 GB
    Total RAM: 223 MB (21% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:09:27, on 18/08/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\VTtrayp.exe
    C:\WINDOWS\system32\msword98.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Documents and Settings\jiji\msword98.exe
    C:\Documents and Settings\jiji\msword98.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\jiji\Bureau\RSIT.exe
    C:\Program Files\trend micro\jiji.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [msword98] C:\Documents and Settings\jiji\msword98.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: wbhwin32.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [searching] Rechercher à partir de la barre d'adresses
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3E515C36-4025-48DE-A26B-4F5DBEDB5330}: NameServer = 4.2.2.3 4.2.2.4
    O20 - AppInit_DLLs: cru629.dat
    0
  20. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Non, ça, c'est RSIT.
    0
  • 1
  • 2
  • 3