Your computer in infected!

jiji1206 Messages postés 40 Statut Membre -  
Destrio5 Messages postés 99820 Statut Modérateur -
Bonjour,
depuis hier jai une croix rouge dans la barre des tache qui dis your computer is infected! wondows has detected spyware infection. jai fait tout ce qu'il ya dans dautre topic du meme genre et le rapport smitfraudfix dit :
SmitFraudFix v2.416

Rapport fait à 18:24:31,76, 18/08/2009
Executé à partir de C:\Documents and Settings\jiji\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\msword98.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\jiji\msword98.exe
C:\Documents and Settings\jiji\msword98.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jiji\Bureau\avast_home_setup.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\braviax.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jiji\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\braviax.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jiji


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jiji\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jiji\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jiji\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="cru629.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


C:\WINDOWS\system32\drivers\beep.sys infecté !


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 4.2.2.3
DNS Server Search Order: 4.2.2.4

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{187DA181-0070-402D-B7D6-F855FAD4ED04}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3E515C36-4025-48DE-A26B-4F5DBEDB5330}: NameServer=4.2.2.3 4.2.2.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{187DA181-0070-402D-B7D6-F855FAD4ED04}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3E515C36-4025-48DE-A26B-4F5DBEDB5330}: NameServer=4.2.2.3 4.2.2.4
HKLM\SYSTEM\CS3\Services\Tcpip\..\{187DA181-0070-402D-B7D6-F855FAD4ED04}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
svp que dois je faire?
ps : jai déja démaré smitfraud fix en mode sans echec et mis loption 2

52 réponses

Réponse 1 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Bonjour,

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Réponse 2 / 52
jiji1206 Messages postés 40 Statut Membre
 
jai fait ce que tu ma demandé voila le rapport

ComboFix 09-08-10.06 - jiji 18/08/2009 18:44.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.58.1036.18.223.116 [GMT 2:00]
Running from: c:\documents and settings\jiji\Bureau\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\jiji\LOCALS~1\Temp\_av_inet.tm~a02360\setupfre.exe.dld
c:\documents and settings\jiji\Application Data\wiaserva.log
c:\documents and settings\jiji\Local Settings\Temp\_av_inet.tm~a02360\setupfre.exe.dld
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\braviax.exe
c:\windows\clofghls.dll
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\braviax.exe
c:\windows\system32\dllcache\figaro.sys
c:\windows\system32\drivers\e866357e.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\wisdstr.exe
c:\windows\system32\WS2Fix.exe

Infected copy of c:\windows\system32\drivers\beep.sys was found and disinfected
Restored copy from - c:\system volume information\_restore{2FC3D582-AEC5-4E05-86E8-1EEC0EDA06CD}\RP5\A0001228.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_e866357e


((((((((((((((((((((((((( Files Created from 2009-07-18 to 2009-08-18 )))))))))))))))))))))))))))))))
.

2009-08-18 16:47 . 2002-08-30 12:00 4224 ----a-w- c:\windows\system32\drivers\beep.sys
2009-08-18 14:49 . 2002-08-30 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
2009-08-18 14:48 . 2004-08-03 20:32 455168 -c--a-w- c:\windows\system32\dllcache\tintsetp.exe
2009-08-18 14:47 . 2004-08-19 14:09 15872 -c--a-w- c:\windows\system32\dllcache\inetin51.exe
2009-08-18 14:46 . 2002-08-30 12:00 19456 -c--a-w- c:\windows\system32\dllcache\agt0404.dll
2009-08-18 14:38 . 2001-08-17 18:13 27165 ----a-w- c:\windows\system32\drivers\fetnd5.sys
2009-08-18 14:36 . 2002-08-30 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2009-08-18 14:36 . 2002-08-30 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2009-08-18 14:36 . 2002-08-30 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2009-08-18 14:36 . 2002-08-30 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2009-08-18 12:06 . 2009-08-18 12:06 -------- d-----w- c:\program files\Sunbelt Software
2009-08-18 11:11 . 2009-08-18 11:11 138 ----a-w- c:\documents and settings\jiji\delself.bat
2009-08-17 22:48 . 2009-02-13 09:31 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-17 22:13 . 2009-08-17 22:13 14136 ----a-w- c:\documents and settings\jijii\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-17 22:11 . 2009-08-17 23:12 -------- d-----w- c:\documents and settings\jijii\Contacts
2009-08-17 21:50 . 2009-08-17 21:50 26686 ----a-w- c:\windows\system32\msword98.exe
2009-08-17 21:50 . 2009-08-17 21:50 26686 ----a-w- c:\documents and settings\jiji\msword98.exe
2009-08-15 15:25 . 2009-08-15 15:25 15240 ----a-w- c:\documents and settings\jiji\Application Data\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
2009-08-14 15:37 . 2009-08-14 15:37 -------- d-s---w- c:\documents and settings\jijii\UserData
2009-08-09 11:27 . 2009-08-09 11:27 -------- d-----w- c:\documents and settings\jiji\Local Settings\Application Data\Adobe
2009-08-09 11:09 . 2009-08-09 11:10 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-08-05 13:49 . 2009-08-05 13:56 -------- d--h--w- c:\windows\ShellNew
2009-08-05 13:49 . 2009-08-05 13:49 -------- d-----w- c:\documents and settings\jiji\Local Settings\Application Data\Microsoft Help
2009-08-05 13:49 . 2009-08-05 13:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-05 13:48 . 2009-08-05 13:48 -------- d--h--r- C:\MSOCache
2009-08-03 18:42 . 2009-08-03 18:42 -------- d-----w- c:\documents and settings\jiji\Local Settings\Application Data\Identities
2009-08-01 11:15 . 2009-08-18 11:51 -------- d-----w- C:\Downloads
2009-08-01 11:14 . 2009-08-18 12:04 -------- d-----w- c:\program files\BitComet
2009-07-31 21:20 . 2009-07-31 21:20 -------- d-----w- c:\documents and settings\jiji\Local Settings\Application Data\Opera
2009-07-31 21:20 . 2009-08-01 13:41 -------- d-----w- c:\program files\Opera
2009-07-27 19:47 . 2009-08-16 11:08 -------- d-----w- c:\documents and settings\jiji\Contacts
2009-07-27 19:46 . 2009-07-27 19:46 -------- d-----w- c:\program files\MSN Messenger
2009-07-27 19:22 . 2009-07-27 19:22 -------- d-s---w- c:\documents and settings\jiji\UserData
2009-07-24 14:56 . 2009-07-24 14:56 -------- d-----w- c:\program files\Yahoo!
2009-07-24 14:55 . 2009-07-24 14:55 -------- d-----w- c:\program files\DIFX
2009-07-24 14:55 . 2009-07-27 19:47 -------- dc----w- c:\windows\system32\DRVSTORE
2009-07-24 14:51 . 2009-08-08 13:51 14136 ----a-w- c:\documents and settings\jiji\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-24 14:15 . 2009-07-24 14:15 407129 ----a-w- c:\windows\MarioForever_Toolbar_Uninstaller_9437.exe
2009-07-24 14:15 . 2009-07-24 14:15 -------- d-----w- c:\program files\Mario Forever Toolbar
2009-07-24 14:15 . 2009-08-17 22:46 -------- d-----w- c:\program files\Mario Forever

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-18 15:01 . 2004-08-03 21:15 619200 ----a-w- c:\windows\system32\drivers\ntfs.sys
2009-08-18 14:57 . 2002-08-30 12:00 48584 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-18 14:57 . 2002-08-30 12:00 367588 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-18 14:44 . 2009-07-23 22:29 23032 ----a-w- c:\windows\system32\emptyregdb.dat
2009-07-28 17:33 . 2009-07-23 22:31 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-07-24 14:55 . 2009-07-23 22:38 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-07-24 14:55 . 2009-07-23 22:39 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-23 22:42 . 2009-07-23 22:42 -------- d-----w- c:\program files\Realtek Sound Manager
2009-07-23 22:42 . 2009-07-23 22:42 -------- d-----w- c:\program files\AvRack
2009-07-23 22:42 . 2009-07-23 22:42 -------- d-----w- c:\program files\Realtek AC97
2009-07-23 22:40 . 2009-07-23 22:40 -------- d-----w- c:\program files\S3
2009-07-23 22:39 . 2009-07-23 22:39 -------- d-----w- c:\program files\VIA
2009-07-23 22:32 . 2009-07-23 22:32 -------- d-----w- c:\program files\microsoft frontpage
2009-07-23 22:31 . 2009-07-23 22:31 -------- d-----w- c:\program files\Services en ligne
.

------- Sigcheck -------

[-] 2009-08-18 15:01 619200 5D407322AA69AC6E7B17C81B48DEB327 c:\windows\system32\dllcache\ntfs.sys
[-] 2009-08-18 15:01 619200 5D407322AA69AC6E7B17C81B48DEB327 c:\windows\system32\drivers\ntfs.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"msword98"="c:\documents and settings\jiji\msword98.exe" [2009-08-17 26686]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"msword98"="c:\windows\system32\msword98.exe" [2009-08-17 26686]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-08-03 53248]
"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2006-08-30 180224]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-03-01 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\jiji\Menu D‚marrer\Programmes\D‚marrage\
wbhwin32.exe [2004-8-19 16896]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9801:TCP"= 9801:TCP:BitComet 9801 TCP
"9801:UDP"= 9801:UDP:BitComet 9801 UDP

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [24/07/2009 00:39 11264]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
TCP: {3E515C36-4025-48DE-A26B-4F5DBEDB5330} = 4.2.2.3 4.2.2.4
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-18 18:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-08-18 18:50 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-18 16:50

Pre-Run: 36 611 072 000 octets libres
Post-Run: 36 910 018 560 octets libres

159
0
Réponse 3 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
"WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!"

--> Il faut que tu installes la console de récupération :
http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
0
Réponse 4 / 52
jiji1206 Messages postés 40 Statut Membre
 
comment je fait pour linstallé ? ca cafiche pa quand je double clik sur combofix .
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.
0
Réponse 6 / 52
jiji1206 Messages postés 40 Statut Membre
 
re alors voici le contenu de log.txt :
Logfile of random's system information tool 1.06 (written by random/random)
Run by jiji at 2009-08-18 19:13:10
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 35 GB (88%) free of 40 GB
Total RAM: 223 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:14:51, on 18/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\msword98.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jiji\msword98.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jiji\Bureau\RSIT.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\trend micro\jiji.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [msword98] C:\Documents and Settings\jiji\msword98.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: wbhwin32.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [searching] Rechercher à partir de la barre d'adresses
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E515C36-4025-48DE-A26B-4F5DBEDB5330}: NameServer = 4.2.2.3 4.2.2.4
O20 - AppInit_DLLs: cru629.dat
0
Réponse 7 / 52
jiji1206 Messages postés 40 Statut Membre
 
et voila info.txt
info.txt logfile of random's system information tool 1.06 2009-08-18 19:14:54

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Mario Forever Toolbar-->"C:\WINDOWS\MarioForever_Toolbar_Uninstaller_9437.exe" _?=C:\Program Files\Mario Forever Toolbar
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Groove MUI (French) 2007-->MsiExec.exe /X{90120000-00BA-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_1F9DE4E49C97F59EE9F75C34E0E91E568FC9EEB2\amdk8.inf
Realtek AC'97 Audio-->Alcrmv.exe -r -m
VIA Platform Device Manager-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
VIA/S3G Display Driver 6.14.10.0331-->C:\PROGRA~1\S3\UChromeP\s3minset.exe /u UChromeP.uns
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}

======System event log======

Computer Name: JIJI1206
Event Code: 17
Message: Fournisseur de temps NtpClient : une erreur s'est produite lors de la recherche DNS de
l'homologue manuellement configuré 'time.windows.com,0x1'. NtpClient va essayer à nouveau
la recherche DNS dans 15 minutes.
L'erreur était : Une opération a été tentée sur un hôte impossible à atteindre. (0x80072751)

Record Number: 107
Source Name: W32Time
Time Written: 20090724005023.000000+120
Event Type: error
User:

Computer Name: JIJI1206
Event Code: 1007
Message: Votre ordinateur a automatiquement configuré l'adresse IP pour la
carte avec l'adresse réseau 02004C4F4F50. L'adresse IP utilisée est 169.254.25.129.

Record Number: 106
Source Name: Dhcp
Time Written: 20090724005023.000000+120
Event Type: warning
User:

Computer Name: JIJI1206
Event Code: 29
Message: Le fournisseur de temps NtpClient est configuré pour acquérir le temps à partir d'une
ou plusieurs sources de temps, cependant aucune source n'est actuellement accessible.
Aucune tentative pour en contacter une ne sera effectuée d'ici 14 minutes.
NtpClient n'a pas de source de temps précis.

Record Number: 105
Source Name: W32Time
Time Written: 20090724004721.000000+120
Event Type: error
User:

Computer Name: JIJI1206
Event Code: 17
Message: Fournisseur de temps NtpClient : une erreur s'est produite lors de la recherche DNS de
l'homologue manuellement configuré 'time.windows.com,0x1'. NtpClient va essayer à nouveau
la recherche DNS dans 15 minutes.
L'erreur était : Une opération a été tentée sur un hôte impossible à atteindre. (0x80072751)

Record Number: 104
Source Name: W32Time
Time Written: 20090724004721.000000+120
Event Type: error
User:

Computer Name: JIJI1206
Event Code: 1007
Message: Votre ordinateur a automatiquement configuré l'adresse IP pour la
carte avec l'adresse réseau 02004C4F4F50. L'adresse IP utilisée est 169.254.25.129.

Record Number: 103
Source Name: Dhcp
Time Written: 20090724004721.000000+120
Event Type: warning
User:

=====Application event log=====

Computer Name: JIJI1206
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 519
Source Name: usnjsvc
Time Written: 20090811185321.000000+120
Event Type:
User:

Computer Name: JIJI1206
Event Code: 1000
Message:
Record Number: 512
Source Name: Windows Live Messenger
Time Written: 20090811171456.000000+120
Event Type: error
User:

Computer Name: JIJI1206
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 509
Source Name: usnjsvc
Time Written: 20090811163325.000000+120
Event Type:
User:

Computer Name: JIJI1206
Event Code: 1002
Message: Application bloquée msnmsgr.exe, version 8.1.178.0, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Record Number: 504
Source Name: Application Hang
Time Written: 20090811162647.000000+120
Event Type: error
User:

Computer Name: JIJI1206
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 496
Source Name: usnjsvc
Time Written: 20090811135410.000000+120
Event Type:
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0605
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF----------------
0
Réponse 8 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
--> Glisse ce fichier sur ComboFix :
http://www.microsoft.com/downloads/details.aspx?FamilyId=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=fr
0
Réponse 9 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Je crois que mon message n'est pas passé.
0
Réponse 10 / 52
jiji1206 Messages postés 40 Statut Membre
 
jai pa compri comment ca je le glisse? DSL je suis pa un as de linformatique
0
Réponse 11 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Tu prends le fichier et tu le déplaces sur ComboFix.
0
Réponse 12 / 52
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
salut a vous

pour suivre

@+
0
Réponse 13 / 52
jiji1206 Messages postés 40 Statut Membre
 
di je le fai glissé sur combofix ou sur RSIT?
0
Réponse 14 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
ComboFix.
0
Réponse 15 / 52
jiji1206 Messages postés 40 Statut Membre
 
ensuite? ya rien aucune fenetre nesafiche cé normal?
0
Réponse 16 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
http://img511.imageshack.us/img511/1874/animation2ko5.gif
0
Réponse 17 / 52
jiji1206 Messages postés 40 Statut Membre
 
ca marche pa , jai éssayé de télécharger a nouveau mais cé pareille , jai redémarré lordi , ca marche toujours pas
0
Réponse 18 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Refais un scan avec ComboFix.
0
Réponse 19 / 52
jiji1206 Messages postés 40 Statut Membre
 
YA ke le log ki est aparu


Logfile of random's system information tool 1.06 (written by random/random)
Run by jiji at 2009-08-18 20:09:23
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 35 GB (87%) free of 40 GB
Total RAM: 223 MB (21% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:27, on 18/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\msword98.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\jiji\msword98.exe
C:\Documents and Settings\jiji\msword98.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jiji\Bureau\RSIT.exe
C:\Program Files\trend micro\jiji.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [msword98] C:\Documents and Settings\jiji\msword98.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: wbhwin32.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [searching] Rechercher à partir de la barre d'adresses
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E515C36-4025-48DE-A26B-4F5DBEDB5330}: NameServer = 4.2.2.3 4.2.2.4
O20 - AppInit_DLLs: cru629.dat
0
Réponse 20 / 52
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Non, ça, c'est RSIT.
0

Discussions similaires

[URGENT] Que veut dire prise (AUX IN)?
quentinel -
ankae -

18 réponses
autoradio Android que peut-on brancher sur vidéo input
chrisia -
baladur13 -

3 réponses
qu'est ce qu'une prise DC IN ?
daphdu974 -
Andy31200 -

3 réponses
Avis site DECO IN PARIS decoinparis.com [SUJET GROUPÉ].
robby54 -
PangolinRapide83 -

316 réponses
Que veut dire " in da place " ?
westcoastDJ -
fyu -

9 réponses