besoin d'aide lecture log hijackthis.

Question

Bonjour

serais t'il possible que l'on jette un oeuil  sur mon log hijackthis car j'ai de gros doute niveau infection et performances au demarrage.


merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:45, on 30/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\girder32\Girder.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Documents and Settings\Administrateur\Mes documents\PouchinTVMod.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =  Tux Internet explorer 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O1 - Hosts: 66.102.11.99 www.google.fr
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\system32\msconfig.exe /auto
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - S-1-5-18 Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe (User 'Default user')
O4 - Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = ?
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

mikou · Answer

siou plait!

mikou · Answer

-toujours pas???????????????

pimprenelle27 · Answer

A demain avec le 2 rapports.

Me faire ceci pour un examen complet de ton PC.

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt  dans un bloc note pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

mikou · Answer

tout d'abord merci de t'intéresser a mon problème.
ensuite voici le lien pour le log: http://www.cijoint.fr/cjlink.php?file=cj200908/cij8Zmw3KB.txt

encore merci

mikou · Answer

le premier lien ne va pas j'ai fait une mauvaise manip'  avec le copier/ coller donc rien n'était a sa place voilà le lien avec le bon rapport:  http://www.cijoint.fr/cjlink.php?file=cj200908/cijWyv6XAQ.txt 

j'ai du renommer en log2 sous peine de ne pas pouvoir le poster.

dans l'attente de te lire...

Alfred · Answer

bonjours,

Les 2 liens sont bons. 
Le 1er c'est le rapport info.txt et le 2ième Log.txt.
Soit les rapports que vous a demandez Pimprenelle27.

mikou · Answer

merci mais je devais fusionner les deux rapport (pour n'en faire qu'un) le second comporte les deux log pas le premier ,d'ou le deuxieme lien.;)

pimprenelle27 · Answer

Bonjour mikou,

Je vois que ta version d'xp n'est pas légale c'est quoi ça : 

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

Alfred · Answer

re,

Avec NLite.
Si c'est fait sur un PC de marque avec version windows pré-installé, alors c'est légal !
En plus y des mises à jours de faites, donc licence unique .

pimprenelle27 · Answer

non si c'était un version légale avec licence, il ne devrait pas y avoir ça.

Alfred · Answer

J'ai une version pré-installé de windows.
Avec laquelle j'avais créé un CD de démarrage avec NLite et >> ces lignes y étaient.

Ne sont nécessaire que pour le premier démarrage après installation, par la suite peuvent supprimées.

mikou · Answer

bonjour

si je savais se que c'est je ne demanderais pas d'aide :).
alors sa te dit quoi se log?infection ou non?

^^Marie^^ · Answer

Bonjour

Pour suivre.

mikou · Answer

genuine advantage est installé sur ma machine et je n'est jamais eu de problème pour les MAJ.donc je ne sais pas?

mais je pense quand même que tu sais de quoi tu parles pimprenelle27...

mikou · Answer

Je vois que ta version d'xp n'est pas légale c'est quoi ça :

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')   


réponse 1:si je savais se que c'est je ne demanderais pas d'aide :).(humour)
alors sa te dit quoi se log?infection ou non?

réponse 2:Genuine advantage est installé sur ma machine et je n'est jamais eu de problème pour les MAJ.donc je ne sais pas?

mais je pense quand même que tu sais de quoi tu parles pimprenelle27...
(autrement dit ,tu as peut être raison.)

POURQUOI DEMANDER A MARIE JE LUI DEMANDE QUOI?

dans l'attente de te lire.

mikou · Answer

on ne veut plus m'aider???????????

mikou · Answer

up!

pimprenelle27 · Answer

Désolé vu les évènements en ce moment je reviendrais demain soir.

mikou · Answer

ok a demain alors bonn8 a toi.

mikou27 · Answer

up!!!!!

mikou27 · Answer

bonjour

non il\elle ne m'aide plus depuis deux jour...dur dur!!:(

mikou27 · Answer

ooooooooh oui!!!je veux bien!




Enfaite j'ai posté un log hijackthis et j'aurais voulu savoir se qu'il en était car quand je me fait un petit netstat j'ai des connections customer-teliacarrier (quand je navigue sur le net)je me suis renseigné et j'ai vu que que se serveur était utilisé pour les jeux en réseaux et parfois télé étrangère hors rien de tous sa ne me concerne. de plus depuis quelques temps ma connection wifi descend a 2mbs\s par seconde sans raison que je connaisse le truc c'est que c'est pas régulier.


voilà en gros un peu se qui me tracasse.

merci d'avance pour ton aide je commencer a désespérer...

mikou27 · Answer

déjà fait malwarebytes...(je sais je suis chiant :) .)

rocketdock.est une application que j'utilise (je sais pas si tu connais)c'est une barre d'outils qui évite de te tapé des icônes en vrac sur le bureau.(téléchargeable  sur CCM)

girder me sert a gérer mon récepteur infrarouge (fait maison) pour télécommander mon htpc (fait maison aussi).

pour le fichier host c'était de moi mais 66.102.11.99  www.google.fr  je l'ai retirer car sans intérêt dans mon host.

pour se qui est du reste c'est toi le patron.veux tu que je re-poste un rapport plus a jour vu que tu reprend les chose en main?

merci de ton aide

mikou27 · Answer

au cas ou?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:23, on 02/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
C:\Program Files\girder32\Girder.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =  Tux Internet explorer 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - S-1-5-18 Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe (User 'Default user')
O4 - Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = ?
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

mikou27 · Answer

pitite question avast sa vos quoi en therme de qualité?parce que beaucoup de personnes conseil de mettre antivir a la place.

mikou27 · Answer

merci du conseil ok pour antivir  changement se soir.
pour le log je poste sa  j'en ais 3 avec des infections différentes donc je met les 3 j'espère qu'il n'y avait pas de faux positifs...car je n'en connais pas les risque si risque il y a?

premier:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2695
Windows 5.1.2600 Service Pack 2 (Safe Mode)

25/08/2009 20:35:24
mbam-log-2009-08-25 (20-35-24).txt

Type de recherche: Examen rapide
Eléments examinés: 77099
Temps écoulé: 5 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)




second:Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2695
Windows 5.1.2600 Service Pack 2

30/08/2009 00:56:14
mbam-log-2009-08-30 (00-56-14).txt

Type de recherche: Examen rapide
Eléments examinés: 79411
Temps écoulé: 8 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


et enfin:Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2713
Windows 5.1.2600 Service Pack 2

30/08/2009 02:06:55
mbam-log-2009-08-30 (02-06-55).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 100586
Temps écoulé: 39 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xp codec pack (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\XP-Codec-Pack-2.5.0.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Program Files\XP Codec Pack\Uninstall.exe (Adware.BHO) -> Quarantined and deleted successfully.


voilà rien que sa.: )

mikou27 · Answer

j'ai oublié de préciser que depuis j'ai re-scanné et les rapports sont vierges niveau infection.

mikou27 · Answer

oui je l'est fait aprés chaque désinfection.

mikou27 · Answer

au revoir avast... bonjour antivir!!!

mikou27 · Answer

bonjour 

oui j'ai fait un scan même plusieurs " sans succès" .seulement un fichier "warning" qui ne peut pas etre ouvert par antivir.rien d'autre.sinon toujours c'est connections a customer-teliacarier.com lorsque que je navigue même en me connectant seulement a ccm .
peu être que cela est du a une faille de sécurité de mon systéme? 
ces connexions s'établissent via firefox.

mikou27 · Answer

j'ai pensé a a un rootkit mais comment en etre sur?
comment faire appel a pimprenelle27?

encore une question saurais tu configurer le pare feu kerio?car je crois avoir réussi a bloquer cette connexion avec celui-ci mais il me bloquait messenger?donc out pour le moment mais si je trouve une soluce de se genre alors je m'en contenterais.

merci

mikou27 · Answer

merci
je vais réessayer cela on verra bien se que sa donne....

pimprenelle27 · Answer

Bonjour,

Me revoilà : 

tu peux me faire ceci : 

Télécharge GenProc sur ton bureau afin de voir ce qu'il à ton pc.

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.


Voir  comment utiliser GenProc



IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

mikou27 · Answer

bonsoir pimprenelle27 merci de ton retour
voici le rapport il ma dit qu'un fichier était introuvable c'est normal?


Rapport GenProc 2.623 [1] - 05/09/2009 à 22:26:56 
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.5.2) [Navigateur par défaut]

~~ INTERRUPTION REQUETES COMPTEURMAX ~~  
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Fais scanner le(s) fichier(s) suivant(s) sur ce site https://www.virustotal.com/gui/ :


C:\WINDOWS\KB959426Uninst.log 
C:\WINDOWS\KB960803Uninst.log 
C:\WINDOWS\KB960859Uninst.log 
C:\WINDOWS\KB961371-v2Uninst.log 
C:\WINDOWS\KB961503Uninst.log 


et poste le(s) rapport(s) obtenu(s) dans ta prochaine réponse.

 


~~~~ INFORMATION COMPLEMENTAIRE ~~~~
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:32:53, on 05/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\girder32\Girder.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Administrateur\Mes documents\PouchinTVMod.exe
C:\GenProc\outil\Administrateur_GenProc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

pimprenelle27 · Answer

Tu n'a plus qu'à suivre le procédure genproc et analyser ces fichiers et poster chacun des rapports en entier. merci.

mikou27 · Answer

je ne trouve pas c'est fichier sur mon pc même en affichant les dossier caché etc.c'est tu pourquoi?

merci

pimprenelle27 · Answer

même en regardant dans C:\WINDOWS

mikou27 · Answer

oui rien de tout sa...

mikou27 · Answer

bonjour 

j'ai fait une mausaise manip' avec genproc j'ai donc refait un scan (se  qui était déconseillé sous peine d'obtenir des résultats erronés et sur le premier rapport (que je n'ai plus  il avais effectué ces changements.




renommé grep.exe en grep.exe_RenameGenProc
renommé sed.exe en sed.exe_RenameGenProc

je crois que se sont de petits  spywares.mais pourquoi antivir,malwarebytes,spybots et autres n'ont rien détecté?

mikou27 · Answer

quelques truc "bizarre" trouvé dans c:\windows:


swreg.exe
swsc.exe
swxcacls.exe
zip.exe
PEV.exe


qu'en dit tu?

pimprenelle27 · Answer

Refais moi un RSIT STP pour revoir tout ça.

mikou27 · Answer

voilà le rapport 


Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-09-06 18:40:15
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 31 GB (79%) free of 39 GB
Total RAM: 1015 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:39, on 06/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\girder32\Girder.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Administrateur\Mes documents\PouchinTVMod.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\RSIT.exe
C:\Program Files	rend micro\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

mikou27 · Answer

alors quel est l'avis du docteur?

pimprenelle27 · Answer

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------

:Processes


:services

:reg

:files
C:\documents and settings\admini~1\locals~1	emp\mbr.sys
C:\WINDOWS\system32	mp.txt
C:\WINDOWS\PEV.exe

:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

mikou27 · Answer

bonsoir voilà le rapport d'OTM:

All processes killed
========== FILES ==========
File/Folder C:\documents and settings\admini~1\locals~1	emp\mbr.sys not found.
C:\WINDOWS\system32	mp.txt moved successfully.
C:\WINDOWS\PEV.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 6580201 bytes
->Temporary Internet Files folder emptied: 56663 bytes
->FireFox cache emptied: 44406484 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3315161 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 505 bytes
RecycleBin emptied: 1599155 bytes
 
Total Files Cleaned = 53,49 mb
 

OTM by OldTimer - Version 3.0.0.6 log created on 09072009_012954

Files moved on Reboot...

Registry entries deleted on Reboot...


encore merci pour ton aide

pimprenelle27 · Answer

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------

:Processes


:services

:reg

:files
C:\WINDOWS\SET88.tmp
C:\WINDOWS\SET87.tmp
C:\WINDOWS\SET86.tmp
C:\WINDOWS\SET85.tmp
C:\WINDOWS\SET84.tmp
C:\WINDOWS\SET83.tmp
C:\WINDOWS\SET81.tmp
C:\WINDOWS\SET80.tmp
C:\WINDOWS\SET7F.tmp
C:\WINDOWS\SET7E.tmp
C:\WINDOWS\SET7D.tmp
C:\WINDOWS\SET7C.tmp
C:\WINDOWS\SET7B.tmp
C:\WINDOWS\SET7A.tmp
C:\WINDOWS\SET79.tmp
C:\WINDOWS\SET78.tmp 
C:\WINDOWS\SET77.tmp 
C:\WINDOWS\SET76.tmp
C:\WINDOWS\SET75.tmp
C:\WINDOWS\SET74.tmp
C:\WINDOWS\SET73.tmp
C:\WINDOWS\SET72.tmp
C:\WINDOWS\SET71.tmp
C:\WINDOWS\SET70.tmp
C:\WINDOWS\SET6F.tmp
C:\WINDOWS\SET6E.tmp
C:\WINDOWS\SET6D.tmp
C:\WINDOWS\SET6C.tmp
C:\WINDOWS\SET6B.tmp
C:\WINDOWS\SET6A.tmp
C:\WINDOWS\SET69.tmp
C:\WINDOWS\SET68.tmp
C:\WINDOWS\SET67.tmp
C:\WINDOWS\SET66.tmp
C:\WINDOWS\SET65.tmp
C:\WINDOWS\SET64.tmp
C:\WINDOWS\SET63.tmp
C:\WINDOWS\SET62.tmp
C:\WINDOWS\SET61.tmp
C:\WINDOWS\SET60.tmp
C:\WINDOWS\SET5F.tmp
C:\WINDOWS\SET5E.tmp
C:\WINDOWS\SET5D.tmp  
C:\WINDOWS\SET5C.tmp  
C:\WINDOWS\SET5B.tmp
C:\WINDOWS\SET5A.tmp
C:\WINDOWS\SET59.tmp
C:\WINDOWS\SET58.tmp 
C:\WINDOWS\SET57.tmp 
C:\WINDOWS\SET56.tmp 
C:\WINDOWS\SET55.tmp 
C:\WINDOWS\SET54.tmp
C:\WINDOWS\SET53.tmp
C:\WINDOWS\SET52.tmp 
C:\WINDOWS\SET51.tmp 
C:\WINDOWS\SET50.tmp
C:\WINDOWS\SET4F.tmp
C:\WINDOWS\SET4E.tmp
C:\WINDOWS\SET4D.tmp
C:\WINDOWS\SET4C.tmp
C:\WINDOWS\SET4B.tmp
C:\WINDOWS\SET4A.tmp
C:\WINDOWS\SET49.tmp
C:\WINDOWS\SET48.tmp
C:\WINDOWS\SET47.tmp
C:\WINDOWS\SET46.tmp
C:\WINDOWS\SET45.tmp
C:\WINDOWS\SET44.tmp
C:\WINDOWS\SET43.tmp
C:\WINDOWS\SET42.tmp
C:\WINDOWS\SET41.tmp
C:\WINDOWS\SET40.tmp
C:\WINDOWS\SET3F.tmp
C:\WINDOWS\SET3E.tmp
C:\WINDOWS\SET3D.tmp
C:\WINDOWS\SET3C.tmp
C:\WINDOWS\SET3B.tmp
C:\WINDOWS\SET3A.tmp
C:\WINDOWS\SET38.tmp
C:\WINDOWS\SET37.tmp
C:\WINDOWS\SET36.tmp
C:\WINDOWS\SET35.tmp
C:\WINDOWS\SET34.tmp
C:\WINDOWS\SET33.tmp
C:\WINDOWS\SET32.tmp
C:\WINDOWS\SET30.tmp
C:\WINDOWS\SET2F.tmp
C:\WINDOWS\SET2E.tmp
C:\WINDOWS\SET2D.tmp
C:\WINDOWS\SET2C.tmp
C:\WINDOWS\SET2B.tmp
C:\WINDOWS\SET2A.tmp
C:\WINDOWS\SET29.tmp
C:\WINDOWS\SET28.tmp
C:\WINDOWS\SET26.tmp
C:\WINDOWS\SET25.tmp
C:\WINDOWS\SET7.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET3.tmp

:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

mikou27 · Answer

voila:

All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\SET88.tmp not found.
File/Folder C:\WINDOWS\SET87.tmp not found.
File/Folder C:\WINDOWS\SET86.tmp not found.
File/Folder C:\WINDOWS\SET85.tmp not found.
File/Folder C:\WINDOWS\SET84.tmp not found.
File/Folder C:\WINDOWS\SET83.tmp not found.
File/Folder C:\WINDOWS\SET81.tmp not found.
File/Folder C:\WINDOWS\SET80.tmp not found.
File/Folder C:\WINDOWS\SET7F.tmp not found.
File/Folder C:\WINDOWS\SET7E.tmp not found.
File/Folder C:\WINDOWS\SET7D.tmp not found.
File/Folder C:\WINDOWS\SET7C.tmp not found.
File/Folder C:\WINDOWS\SET7B.tmp not found.
File/Folder C:\WINDOWS\SET7A.tmp not found.
File/Folder C:\WINDOWS\SET79.tmp not found.
File/Folder C:\WINDOWS\SET78.tmp not found.
File/Folder C:\WINDOWS\SET77.tmp not found.
File/Folder C:\WINDOWS\SET76.tmp not found.
File/Folder C:\WINDOWS\SET75.tmp not found.
File/Folder C:\WINDOWS\SET74.tmp not found.
File/Folder C:\WINDOWS\SET73.tmp not found.
File/Folder C:\WINDOWS\SET72.tmp not found.
File/Folder C:\WINDOWS\SET71.tmp not found.
File/Folder C:\WINDOWS\SET70.tmp not found.
File/Folder C:\WINDOWS\SET6F.tmp not found.
File/Folder C:\WINDOWS\SET6E.tmp not found.
File/Folder C:\WINDOWS\SET6D.tmp not found.
File/Folder C:\WINDOWS\SET6C.tmp not found.
File/Folder C:\WINDOWS\SET6B.tmp not found.
File/Folder C:\WINDOWS\SET6A.tmp not found.
File/Folder C:\WINDOWS\SET69.tmp not found.
File/Folder C:\WINDOWS\SET68.tmp not found.
File/Folder C:\WINDOWS\SET67.tmp not found.
File/Folder C:\WINDOWS\SET66.tmp not found.
File/Folder C:\WINDOWS\SET65.tmp not found.
File/Folder C:\WINDOWS\SET64.tmp not found.
File/Folder C:\WINDOWS\SET63.tmp not found.
File/Folder C:\WINDOWS\SET62.tmp not found.
File/Folder C:\WINDOWS\SET61.tmp not found.
File/Folder C:\WINDOWS\SET60.tmp not found.
File/Folder C:\WINDOWS\SET5F.tmp not found.
File/Folder C:\WINDOWS\SET5E.tmp not found.
File/Folder C:\WINDOWS\SET5D.tmp not found.
File/Folder C:\WINDOWS\SET5C.tmp not found.
File/Folder C:\WINDOWS\SET5B.tmp not found.
File/Folder C:\WINDOWS\SET5A.tmp not found.
File/Folder C:\WINDOWS\SET59.tmp not found.
File/Folder C:\WINDOWS\SET58.tmp not found.
File/Folder C:\WINDOWS\SET57.tmp not found.
File/Folder C:\WINDOWS\SET56.tmp not found.
File/Folder C:\WINDOWS\SET55.tmp not found.
File/Folder C:\WINDOWS\SET54.tmp not found.
File/Folder C:\WINDOWS\SET53.tmp not found.
File/Folder C:\WINDOWS\SET52.tmp not found.
File/Folder C:\WINDOWS\SET51.tmp not found.
File/Folder C:\WINDOWS\SET50.tmp not found.
File/Folder C:\WINDOWS\SET4F.tmp not found.
File/Folder C:\WINDOWS\SET4E.tmp not found.
File/Folder C:\WINDOWS\SET4D.tmp not found.
File/Folder C:\WINDOWS\SET4C.tmp not found.
File/Folder C:\WINDOWS\SET4B.tmp not found.
File/Folder C:\WINDOWS\SET4A.tmp not found.
File/Folder C:\WINDOWS\SET49.tmp not found.
File/Folder C:\WINDOWS\SET48.tmp not found.
File/Folder C:\WINDOWS\SET47.tmp not found.
File/Folder C:\WINDOWS\SET46.tmp not found.
File/Folder C:\WINDOWS\SET45.tmp not found.
File/Folder C:\WINDOWS\SET44.tmp not found.
File/Folder C:\WINDOWS\SET43.tmp not found.
File/Folder C:\WINDOWS\SET42.tmp not found.
File/Folder C:\WINDOWS\SET41.tmp not found.
File/Folder C:\WINDOWS\SET40.tmp not found.
File/Folder C:\WINDOWS\SET3F.tmp not found.
File/Folder C:\WINDOWS\SET3E.tmp not found.
File/Folder C:\WINDOWS\SET3D.tmp not found.
File/Folder C:\WINDOWS\SET3C.tmp not found.
File/Folder C:\WINDOWS\SET3B.tmp not found.
File/Folder C:\WINDOWS\SET3A.tmp not found.
File/Folder C:\WINDOWS\SET38.tmp not found.
File/Folder C:\WINDOWS\SET37.tmp not found.
File/Folder C:\WINDOWS\SET36.tmp not found.
File/Folder C:\WINDOWS\SET35.tmp not found.
File/Folder C:\WINDOWS\SET34.tmp not found.
File/Folder C:\WINDOWS\SET33.tmp not found.
File/Folder C:\WINDOWS\SET32.tmp not found.
File/Folder C:\WINDOWS\SET30.tmp not found.
File/Folder C:\WINDOWS\SET2F.tmp not found.
File/Folder C:\WINDOWS\SET2E.tmp not found.
File/Folder C:\WINDOWS\SET2D.tmp not found.
File/Folder C:\WINDOWS\SET2C.tmp not found.
File/Folder C:\WINDOWS\SET2B.tmp not found.
File/Folder C:\WINDOWS\SET2A.tmp not found.
File/Folder C:\WINDOWS\SET29.tmp not found.
File/Folder C:\WINDOWS\SET28.tmp not found.
File/Folder C:\WINDOWS\SET26.tmp not found.
File/Folder C:\WINDOWS\SET25.tmp not found.
File/Folder C:\WINDOWS\SET7.tmp not found.
File/Folder C:\WINDOWS\SET4.tmp not found.
File/Folder C:\WINDOWS\SET3.tmp not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 25957280 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 24,82 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 09072009_022241

Files moved on Reboot...

Registry entries deleted on Reboot...

pimprenelle27 · Answer

il n'a rien trouvé, tu peux regarder si tu trouve ça : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mbr.sys

mikou27 · Answer

bonjour

a cet emplacement " C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp" je n'ai trouvé que ceci:

F{7E2E0DC1-31FD-11D2-9C21-00104B3801F6}0.xxx  taille:4.6mo cela semblerait correspondre a intervidéo windvd 8( enfin c'est se qui est dit dans les propriétés)


etilqs_0KMqxTKrUrQzsRENpF3K    fichier de 0 octet sans extension


ps:c'est files
C:\WINDOWS\SET88.tmp
C:\WINDOWS\SET87.tmp
C:\WINDOWS\SET86.tmp
C:\WINDOWS\SET85.tmp
C:\WINDOWS\SET84.tmp
C:\WINDOWS\SET83.tmp
C:\WINDOWS\SET81.tmp
C:\WINDOWS\SET80.tmp etc

ont certainement  était supprimé après le premier scan car juste après je suis allais  voir dans c:\windows et ils n'y étaient déjà plus .normal?

pimprenelle27 · Answer

tu va donc me faire ceci alors maintenant : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

mikou27 · Answer

je l'ai fait des dizaines de fois sans succès.mais j'en relance un au cas ou...

mikou27 · Answer

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2751
Windows 5.1.2600 Service Pack 2

07/09/2009 21:24:58
mbam-log-2009-09-07 (21-24-58).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 108805
Temps écoulé: 4 hour(s), 45 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
bonsoir 


Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

mikou27 · Answer

toujours c'est pu**** de connexions  a customer-teliacarrier!!!!

j'en peu plus!!!

je ne trouve rien d'intéressant sur le sujet....

sa ne te dit rien a toi?

je sais que tu n'a pas demandé cela mais juste pour te faire une idée de la chose:


Connexions actives

  Proto  Adresse locale         Adresse distante       Etat
  TCP    tiny:135               tiny:0                 LISTENING
  TCP    tiny:445               tiny:0                 LISTENING
  TCP    tiny:1025              tiny:0                 LISTENING
  TCP    tiny:1749              localhost:1750         ESTABLISHED
  TCP    tiny:1750              localhost:1749         ESTABLISHED
  TCP    tiny:1752              localhost:1753         ESTABLISHED
  TCP    tiny:1753              localhost:1752         ESTABLISHED
  TCP    tiny:139               tiny:0                 LISTENING
  TCP    tiny:1769              213-248-125-112.customer.teliacarrier.com:80  ESTABLISHED
  TCP    tiny:1770              213-248-125-112.customer.teliacarrier.com:80  ESTABLISHED
  TCP    tiny:1773              213-248-125-112.customer.teliacarrier.com:80  ESTABLISHED
  TCP    tiny:1774              213-248-125-112.customer.teliacarrier.com:80  ESTABLISHED
  TCP    tiny:1776              ey-in-f113.google.com:80  ESTABLISHED
  TCP    tiny:1786              ww-in-f104.google.com:80  ESTABLISHED
  TCP    tiny:1787              ww-in-f106.google.com:80  ESTABLISHED
  TCP    tiny:1788              ww-in-f100.google.com:80  ESTABLISHED
  TCP    tiny:1795              ww-in-f104.google.com:80  ESTABLISHED
  UDP    tiny:445               *:*                    
  UDP    tiny:500               *:*                    
  UDP    tiny:4500              *:*                    
  UDP    tiny:123               *:*                    
  UDP    tiny:1900              *:*                    
  UDP    tiny:123               *:*                    
  UDP    tiny:137               *:*                    
  UDP    tiny:138               *:*                    
  UDP    tiny:1900              *:*                    


merci

pimprenelle27 · Answer

Tu va me faire ceci : 

Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Clique sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC.


Option 1 - Recherche :


&#x25B6; télécharge smitfraudfix et enregistre le sur le bureau
 
&#x25B6; Sous XP : Double clique sur smitfraudfix puis exécuter

&#x25B6; sous vista : Clic-droit sur SmitfraudFix présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

&#x25B6; Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

&#x25B6; copier/coller le rapport dans la réponse.


Voici un tutoriel sonore et animé en cas de problème d'utilisation


(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)

mikou27 · Answer

SmitFraudFix v2.423

Rapport fait à  0:57:55,67, 08/09/2009
Executé à partir de c:\program files\mozilla firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\girder32\Girder.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Administrateur\Mes documents\PouchinTVMod.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\mozilla firefox\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter #2
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{18785446-AEEB-4725-BC5A-F33C3DA1B492}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{18785446-AEEB-4725-BC5A-F33C3DA1B492}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{18785446-AEEB-4725-BC5A-F33C3DA1B492}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

mikou27 · Answer

bonjour 

j'ai encore quelque choses qui me semble "suspect":


C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\svchost.exe

C:\WINDOWS\system32\dllcache\cache\svchost.exe


se qui me semble bizarre se sont les emplacements de ces fichiers et surtout que sur le XP sp3 de mais parents il n'y a que 2 dossiers contenant svchost.exe

je continue l'enquête mais ne peux agir...snif.

pimprenelle27 · Answer

Fait ceci quand même : 

Télécharge HostsXpert sur ton Bureau :


---> Décompresse-le (Clic droit >> Extraire ici)

---> Double-clique sur HostsXpert pour le lancer

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

mikou27 · Answer

c'est fait...d'autres manip'?

pimprenelle27 · Answer

Ensuite tu vas essayer de me faire ceci : 

Télécharger AVPTool

Le lancement du téléchargement ce fait automatiquement. Téléchargez-la sans hésiter sur le bureau de votre PC. Double-cliquez dessus pour lancez l'installation.

Attention : AVPTool (tout comme d'autres outils du même acabit tels que Antivir, BitDefender Free, etc.) n'est pas une protection. C'est un détecteur et un nettoyeur d'infections déjà présentes sur le PC. Pour vous protéger efficacement contre les menaces modernes que sont les Drive-by Downloads, les Stage Downloads, les Banking Trojans, les Webstorms, il faut disposer d'authentiques suites de sécurité comme Kaspersky Antivirus 8.0 (KAV) ou Kaspersky Internet Security 8.0 (KIS).

AVPTool fonctionne sous Windows 2000, XP, Vista 32 bits. Il ne doit pas être utilisé sur des machines déjà équipées de KAV 8.0 ou KIS 8.0.

mikou27 · Answer

bonjour 

AVPTool n'a rien detecté non plus...peut-etre qu'un simple firewall suffirait?

je tente le coup avec zone alarm.

pimprenelle27 · Answer

Pour une dernière vérif, fais moi ceci : 

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Au second menu choisis l'option 1 : Mode Recherche

&#9654; Laisse travailler l'outil.

&#9654; Une fois le scan Terminé ,un rapport s'ouvre .

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

mikou27 · Answer

voila le rapport

List'em by g3n-h@ckm@n 1.0.3.0 

updated on 03.09.2009 ::::: 0.25 


Microsoft Windows XP [version 5.1.2600]
 

09/09/2009    20:38:48,37 
 

Nom de l'image              PIDÿ Nom de la sessio Num‚ro d Utilisation 
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0        16 Ko
System                         4 Console                 0       220 Ko
smss.exe                     340 Console                 0       400 Ko
csrss.exe                    444 Console                 0     2ÿ752 Ko
winlogon.exe                 468 Console                 0     1ÿ676 Ko
services.exe                 512 Console                 0     4ÿ204 Ko
lsass.exe                    524 Console                 0     1ÿ828 Ko
svchost.exe                  692 Console                 0     5ÿ240 Ko
svchost.exe                  736 Console                 0     4ÿ276 Ko
svchost.exe                  776 Console                 0    21ÿ996 Ko
svchost.exe                  928 Console                 0     3ÿ520 Ko
svchost.exe                 1104 Console                 0     3ÿ800 Ko
explorer.exe                1120 Console                 0    27ÿ216 Ko
spoolsv.exe                 1768 Console                 0     4ÿ428 Ko
sched.exe                   1868 Console                 0       280 Ko
svchost.exe                  328 Console                 0     3ÿ744 Ko
avguard.exe                  368 Console                 0    10ÿ224 Ko
alg.exe                     1596 Console                 0     3ÿ512 Ko
VistaDrive.exe              2336 Console                 0     3ÿ948 Ko
hkcmd.exe                   2488 Console                 0     3ÿ844 Ko
SOUNDMAN.EXE                2600 Console                 0     2ÿ752 Ko
avgnt.exe                   2612 Console                 0     1ÿ968 Ko
ISUSPM.exe                  2712 Console                 0     3ÿ612 Ko
List_Killem.exe             1628 Console                 0     4ÿ836 Ko
cmd.exe                     1896 Console                 0     1ÿ724 Ko
tasklist.exe                3084 Console                 0     4ÿ332 Ko
wmiprvse.exe                1864 Console                 0     5ÿ668 Ko
 
Infections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\WINDOWS\msconfig.exe"  
"C:\WINDOWS\system32\404Fix.exe"  
"C:\WINDOWS\system32\dumphive.exe"  
"C:\WINDOWS\system32\IEDFix.exe"  
"C:\WINDOWS\System32\prnjobs.vbs"  
"C:\WINDOWS\system32\Process.exe"  
"C:\WINDOWS\system32\SrchSTS.exe"  
"C:\WINDOWS\system32	mp.reg"  
"C:\WINDOWS\system32\VACFix.exe"  
"C:\WINDOWS\system32\VCCLSID.exe"  
"C:\WINDOWS\system32\WS2Fix.exe"  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

AGENT.EXE-06FC5CDE.pf
AVSCAN.EXE-07FC469C.pf
CCLEANER.EXE-0BCE437C.pf
CHCP.COM-18156052.pf
CMD.EXE-087B4001.pf
CSCRIPT.EXE-1C26180C.pf
DIAGNOSTICSCAPTURETOOL.EXE-0823322C.pf
EMULE.EXE-2A971BEB.pf
FIND.EXE-0EC32F1E.pf
FINDSTR.EXE-0CA6274B.pf
FIREFOX.EXE-28641590.pf
GREP.EXE-04C46782.pf
ISUSPM.EXE-30816766.pf
Layout.ini
LIST_KILLEM.EXE-02158BD5.pf
LIST_KILLEM.EXE-19FC2DAB.pf
LOGON.SCR-151EFAEA.pf
LOGONUI.EXE-0AF22957.pf
MBAM.EXE-0BEE0439.pf
MODE.COM-31685BAE.pf
NETSTAT.EXE-2B2B4428.pf
NOTEPAD.EXE-336351A9.pf
NTOSBOOT-B00DFAAD.pf
POUCHINTVMOD.EXE-0FA2C0FD.pf
PROMOT~1.EXE-206AAB40.pf
REG.EXE-0D2A95F7.pf
REGEDIT.EXE-1B606482.pf
REGSVR32.EXE-25EEFE2F.pf
RUNDLL32.EXE-1357CA32.pf
RUNDLL32.EXE-13DA0E71.pf
RUNDLL32.EXE-1F20A0D1.pf
SED.EXE-214E0DA3.pf
SWREG.EXE-1013B511.pf
SWREG.EXE-26D6CD16.pf
TASKLIST.EXE-10D94B23.pf
TASKMGR.EXE-20256C55.pf
TRACERT.EXE-0E419688.pf
UPDATE.EXE-2577D203.pf
VERCLSID.EXE-3667BD89.pf
WINDVD.EXE-10C78028.pf
WMIPRVSE.EXE-28F301A9.pf
WMPLAYER.EXE-18DDEFA2.pf
WUAUCLT.EXE-399A8E72.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

j'attend la suite 

encore merci

pimprenelle27 · Answer

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

mikou27 · Answer

Kill'em by g3n-h@ckm@n 1.0.3.0 

updated on 03.09.2009 ::::: 0.25 


Microsoft Windows XP [version 5.1.2600]
 

09/09/2009    20:59:23,15 

Fichiers analysés : 
================= 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\WINDOWS\msconfig.exe"  
"C:\WINDOWS\system32\404Fix.exe"  
"C:\WINDOWS\system32\dumphive.exe"  
"C:\WINDOWS\system32\IEDFix.exe"  
"C:\WINDOWS\System32\prnjobs.vbs"  
"C:\WINDOWS\system32\Process.exe"  
"C:\WINDOWS\system32\SrchSTS.exe"  
"C:\WINDOWS\system32	mp.reg"  
"C:\WINDOWS\system32\VACFix.exe"  
"C:\WINDOWS\system32\VCCLSID.exe"  
"C:\WINDOWS\system32\WS2Fix.exe"  
 
 
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers : 
  
Quarantaine : 

404Fix.exe.Kill'em
dumphive.exe.Kill'em
IEDFix.exe.Kill'em
msconfig.exe.Kill'em
prnjobs.vbs.Kill'em
Process.exe.Kill'em
qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
SrchSTS.exe.Kill'em
tmp.reg.Kill'em
VACFix.exe.Kill'em
VCCLSID.exe.Kill'em
WS2Fix.exe.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification : 
 

 
Infections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

AGENT.EXE-06FC5CDE.pf
Layout.ini
NTOSBOOT-B00DFAAD.pf
REG.EXE-0D2A95F7.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

mikou27 · Answer

alors quelque chose?
j'ai toujours les connections ...
Avec zone alarm j'ai po réussi...

Le plus souvent elles apparaissent quand j'actualise une page ou passe d'un site a un autre ,le nombre varie a peu près de 1 à 10 puis elles disparaissent...apparaissent etc.De plus il y a pas mal d'ip différentes.et elles se font toutes depuis firefox rien hors connection.


D'où sa peut sortir se truc!!?!? =(

mikou27 · Answer

la j'en même 13!!!

mikou27 · Answer

bonjour 

alors autre chose?

pimprenelle27 · Answer

Fait moi ceci : 

Ouvre ce lien et télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag :

Une fois le téléchargement achevé, place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

mikou27 · Answer

je poste le rapport mais il n'apparait pas dans la discutions...

mikou27 · Answer

le voila

http://www.cijoint.fr/cjlink.php?file=cj200909/cijbRzJNUK.txt

mikou27 · Answer

alors?sa dit quoi?

pimprenelle27 · Answer

On va faire le ménage après ça et on verra si tu as toujours tes problèmes.

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------
:files
C:\WINDOWS\System32	mp.txt

:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

mikou27 · Answer

All processes killed
========== FILES ==========
C:\WINDOWS\System32	mp.txt moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF93EB.tmp scheduled to be deleted on reboot.
->Temp folder emptied: 19762652 bytes
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 68931 bytes
->FireFox cache emptied: 72885527 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS	emp\av2.tmp scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\iswift.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\sfdb.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ZLT017c8.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied: 28006156 bytes
RecycleBin emptied: 22601 bytes
 
Total Files Cleaned = 115,25 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 09142009_002133

Files moved on Reboot...
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF93EB.tmp moved successfully.
File C:\WINDOWS	emp\av2.tmp not found!
C:\WINDOWS	emp\iswift.dat moved successfully.
C:\WINDOWS	emp\sfdb.dat moved successfully.
File C:\WINDOWS	emp\ZLT017c8.TMP not found!

Registry entries deleted on Reboot...

pimprenelle27 · Answer

Si le rapport du scan en ligne n’indique plus aucun virus, on peut passer au nettoyage et mise à jour de l’ordinateur :


Lance Hijackthis , (= C:\Program Files	rend micro\Administrateur.exe) , ensuite clique sur do a system scan only puis tu sélectionne les lignes suivante ,

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE    => Realtek®Avance Logic Sound
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    => Microsoft®Windows NT
O4 - HKLM\..\policies\Explorer: [NoDesktopCleanupWizard] Data=1

Tu cliques en bas sur le bouton FIX CHECKED et valides .



Redémarres l'ordi . ( important pour que certaines modifs faites avec hijakthis soient prises en compte )


Ensuite ceci afin de supprimer les logiciels utilisés lors de la désinfection: 

Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Cliques sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC.


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

&#x25B6; Télécharge Toolscleaner sur ton Bureau 

&#x25B6; Sous XP : Double-clique sur ToolsCleaner2.exe
&#x25B6; Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"
&#x25B6; Clique sur Recherche et laisse le scan se terminer.
&#x25B6; Clique sur Suppression pour finaliser.
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives.
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer.
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Pour mettre à jour les logiciels sur ton PC : 

 Les Mises A Jour sont très importantes pour votre PC,  afin d'éviter certaines failles de sécurité

ne pas oublier de mettre à jour ta version du pack XP en SP3

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

&#x25B6; Télécharge Update Checker

&#x25B6; Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

&#x25B6; Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

&#x25B6; Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

&#x25B6; Un conseil : n'installe pas les BETA qui sont listées en dessous.

&#x25B6; Tu installes les mises à jour que tu désires, les plus importantes sont :

&#9679; Java

&#9679; Adobe Reader

&#9679; Adobe Flash Player

&#9679; Navigateur Internet

(attention certain logiciels mis en lien pour les mises à jour peuvent être en anglais, rechercher celui en français)


Voici un tuto


Enfin un petit nettoyage de l'ordi  :


Télécharge Ccleaner

Tutoriel pour l'installer et l'utiliser correctement CCleaner

Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.


Enfin Purge de la restauration système : 


Désactivation de la restauration :


&#x25B6; Cliquez droit sur poste de travail
&#x25B6; Ensuite aller sur propriétés
&#x25B6; Puis restauration système
&#x25B6; Et cochez la case désactiver la restauration
&#x25B6; Cliquez ensuite sur appliquez, puis OK
&#x25B6; Et redémarrez votre PC



Réactivation de la restauration :


&#x25B6; Cliquez droit sur poste de travail
&#x25B6; Ensuite aller sur propriétés
&#x25B6; Puis restauration système
&#x25B6; Et décochez la case désactiver la restauration
&#x25B6; Cliquez ensuite sur appliquez, puis OK
&#x25B6; Et redémarrez votre PC


Et ensuite création d'un nouveau point de restauration comme ce qui suit : 


&#x25B6; Allez dans le Menu Démarrer
&#x25B6; Puis dans Programmes
&#x25B6; Ensuite dans Accessoires
&#x25B6; Et enfin dans Outils système
&#x25B6; Choisir Restauration du système
&#x25B6; Sélectionnez créer un point de restauration
&#x25B6; Cliquez sur Suivant
&#x25B6; Entrez un nom pour le point de restauration
&#x25B6; Cliquez sur créer et le point de restauration se créé automatiquement.


Enfin vous devez garder les logiciels suivant qui ont été téléchargés pour la désinfection  et le nettoyage:: 


&#x25B6; Ccleaner à garder absolument et faire le nettoyage souvent

&#x25B6; Malware à garder absolument (faire scan de temps en temps)

&#x25B6; Update checker à garder absolument et faire un scan pour vérifier les mises à jour disponible

Les autres sont à supprimer, dans ajout et suppression de programmes pour certains et pour d'autres manuellement 


Pour finir, penser à faire après tout ça, une défragmentation du  PC afin de regrouper les fragments de fichiers éparpillés sur le disque pour optimiser les temps d'accès du disque dur lors de la lecture de fichiers de taille importante.

Voici la procédure : 

Méthode 1 :
Ainsi pour défragmenter de manière optimale, il est fortement recommandé de démarrer Windows en mode sans échec, puis de lancer la défragmentation !

Pour lancer la défragmentation : 

&#x25B6; Pour Windows XP et pour les autres versions, la procédure est quasiment la même

&#x25B6; Double-cliquez sur Poste de Travail, clic droit sur le disque à défragmenter puis sur Propriétés.

&#x25B6; Choisissez l'onglet Outils puis cliquez sur Défragmenter maintenant


Méthode 2 :

Aussi pour défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows).

Télacharge JkDefrag

Voir le tuto pour bien l'installer et l'utiliser



Si vous ne trouvé pas  Hijackthis, téléchargez le fichier d'installation d'HijackThis. 

Tutoriaux Hijackthis

mikou27 · Answer

bon j'ai presque fini mais  Update Checker ne fonctionne pas il est installé mais affiche un message d'erreur.pour le reste je m'en occupe 

merci pour ta patience.

pimprenelle27 · Answer

quel message d'erreur?

mikou27 · Answer

au lancement de l'application.

L'application n'a pas réussi à s'initialiser correctement(0x0000135).CLiquer sur ok pour arreter l'application.

et j'ai toujours ces connections je vais finir par croire que c'est normal!!!

pimprenelle27 · Answer

Fait la mise à jour de ton xp en sp3  via windows update, puis désinstalle update checker dans ajout et suppression de programme, puis réessaye l'installation en mode sans échec

mikou27 · Answer

bonsoir,

voila pour le sp3 c'est fait ,mais le logiciel ne fonctionne  toujours pas.

désolé pour le retard.

pimprenelle27 · Answer

tu as fait toute les mises à jour à faire avec windows update?

mikou27 · Answer

bonjour 

oui tout est  fait mais sa ne fonctionne pas.

pimprenelle27 · Answer

Essaye d'installer ceci : http://translate.google.com/... c'est peut être ça qui bloque.

mikou27 · Answer

sa y est sa fonctionne

sa m'a aidé pour msn avec lequel j'avais des problémes de connection


pour le reste il y a flash player pour IE (que je n'utilise pas)
ccleaner
emule
quick time player 
et enfin média player

voilà tout.

pimprenelle27 · Answer

flash player pour IE installe le quand même ça ne coûte rien.

Ensuite comment va le pc.

mikou27 · Answer

aprés tout cela toujours ces connections a customer teliacarrier.com mais se ne sont jamais les mêmes ip!
je bloque chaque nouvelles ip mais c'est du temps de perdu...
serait-il possible de bloquer carrément le serveur,domaine ou je ne sait trop quel truc  a la "source"?

pimprenelle27 · Answer

Est que tu joue à des jeux en ligne ou regarde tu la télé sur ton ordi?

mikou27 · Answer

non justement c'est la qu'est le problème je m'étais renseigné j'avais justement précisé quelques pages plus tôt dans la discutions;que je ne joue pas et pas de télé non plus, c'est pour sa que sa me semble bizarre.et surtout autant d'IP différentes!

pimprenelle27 · Answer

J'ai cherché sur le net mais je ne trouva pas grand choses à part le rapport jeux et télé. tu es seul à te servir de l'ordi?

mikou27 · Answer

oui je suis le seul a utiliser le pc et il n'y a qu'un compte de créé.je ne sais vraiment pas quoi faire.
c'est vraiment bizarre.ces connections apparaissent puis elles disparaissent la duré et le nombre de connections varie.pour rappel elles sont là seulement lorsque je navigue sur le net.Pas de ports a l'écoutes et elles ne sont jamais sur les mêmes(ports).

sa viens de me revenir en écrivant il est dit aussi d'après mais recherches sur google  que téliacarrier est l'opérateur historique de la suède c'est juste une petite info supplémentaire au cas cela pourrait être une piste.
Sachant que je n'est bien-sur aucun lien avec la Suède : ).
c'est chiant plus ont  en sais  et moin c'est clair cette histoire!!

pimprenelle27 · Answer

oui tu n'as pas de pub quand tu navigue sur le net?

mikou27 · Answer

bonjour

Non pas de pubs non plus.
Mais parfois mon débit décent en flèche surtout pendant des téléchargement(légaux) de logiciels par exemple les outils de désinfection que j'ai du utiliser.
c'est aléatoire je passe de 54mbs à 1, 2,2, 5 mbs (je suis en wifi).ceci est arrivé d'un coups avant j'utilisais la box de ma sœur qui était ma voisine ma réception était moyenne mais j'avais de bon débits.

Puis un jour sans raison apparentes descente en flèche. 
J'ai donc réinstallé ma clé wifi.
Netstat je m'aperçois qu'il y a ces fameuses connections aux quelles javais eu  affaires il y a longtemps. 
Scanné et re-scanné sans sucés.
Ensuite changement de box pour mon propre abonnement de gros espoirs.
Et pourtant toujours le même souci.
Dernière chance le formatage!
Mais là encore et toujours aucun résultat.
Enfin pour bien faire je me rend compte que ces connections me poursuive après tout cela...


voilà un résumé de tout cela.

mikou · Answer

up!!

pimprenelle27 · Answer

Désolé, mais là je ne vois pas je suis à cours d'idée.

mikou27 · Answer

merci a toi de m'avoir aidé pimprenelle27.

salutations et bonne continuation sur ccm.

Besoin d'aide lecture log hijackthis.

94 réponses

Votre réponse

Discussions similaires

Newsletters