Bonjour, Je m'en remets a vous pour un petit souci assez récurrent mais que je n'arrive malheureusement pas a solutionner. Comme beaucoup de personnes je me retrouve avec un virus s'attaquant a mes liens dans google et ce quelque soit le navigateur. Après plusieurs scan avec "Antivirus Firewall" (qui ma détecter deux petit fichiers suspect et supprimé) j'ai toujours cette épine dans mon ordi Parckard Bell sous "Windows XP". J'ai donc un peu parcouru les forums et fait deux trois petites chosedont une c'est d'utiliser AVG (ce qui n'a rien donné. Puis fait un scan avec HijackThis (je n'y comprends pas grand chose) donc vous trouverez le rapport plus bas. Et j'ai aussi changer l'antivirus pour Antivir qui lui ma seulement donné deux avertissements, le rapport ci dessous. Pouvez vous m'aider sachant que je suis une brele en info et que je ne dispose pas des Masters CD/DVD et il m'ait impossible de les graver car le graveur est fichu lol il est très vieux... Donc avant de tenter quoi que se soit surtout une restauration sans ces cd (il parait que c'est possible) je préfere m'en remettre a vous. je vous remercie d'avance ! Rapport Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:08:21, on 18/11/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\necmfk\necmfk.exe C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\DNA\btdna.exe C:\Program Files\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe C:\Program Files\NETGEAR\WG111v3\WG111v3.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\NETGEAR\WG111v3\WG111v3.exe C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE C:\WINDOWS\system32\FsUsbExService.Exe C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe C:\Program Files\Orange\AntivirusFirewall\FSGUI\fsguidll.exe C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe C:\PROGRA~1\AVG\AVGLS\avgwdsvc.exe C:\Program Files\AVG\AVGLS\avgtray.exe C:\PROGRA~1\AVG\AVGLS\avgnsx.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVGLS\Toolbar\IEToolbar.dll R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVGLS\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVGLS\Toolbar\IEToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVGLS\Toolbar\IEToolbar.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NECMFK] C:\Program Files\necmfk\necmfk.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVGLS\avgtray.exe O4 - HKLM\..\RunOnce: [AVG frw] "C:\Program Files\AVG\AVGLS\avgfrw.exe" /setyahoo O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe" O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe O4 - Global Startup: Assistant Smart Wizard NETGEAR pour WG311v3.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - https://www.linkedin.com/cab/LinkedInContactFinderControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E2657A2-C6A0-4B1D-B6E9-0E76BA02B75D}: NameServer = 85.255.113.115,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{5431591E-6818-43E7-B454-007F2C5E7A7D}: NameServer = 85.255.113.115,85.255.112.79 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVGLS\avgpp.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG LinkScanner® WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVGLS\avgwdsvc.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\ORSP Client\fsorsp.exe O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Virus Google (liens déviés)

Réponse 41 / 45

Mastergardian Messages postés 32 Statut Membre

C'est fini ou il me reste encore des petites choses a faire ?

Réponse 42 / 45

Utilisateur anonyme

Cà n'est pas encore fini, je te préviendrai quand çà le sera ;)

La suite :

Tu peux supprimer ToolsCleaner2.exe

Suppression des points de restauration :
• Clique sur Démarrer
• Clique droit sur Poste de travail
• Clique sur Propriétés
• Clique sur l'onglet Restauration du système
• Clique sur Restauration système
• Coche la case Désactiver la Restauration du système sur tous les lecteurs
• Clique sur Appliquer
• Clique sur Oui au message "Voulez-vous vraiment déactiver la restauration système ?"
• Décoche la case Désactiver la Restauration du système sur tous les lecteurs
• Clique sur Appliquer
• Clique sur OK

Création d'un nouveau point de restauration :
• Clique sur Démarrer
• Clique sur Programmes
• Clique sur Accessoires
• Clique sur Outils système
• Clique sur Restauration système
• Active la restauration si un message le demande
• Sélectionne Créer un point de restauration
• Clique sur Suivant
• Entre une Description
• Clique sur Créer
• Clique sur Fermer

• Télécharge Ccleaner

• Lance l'installation en double cliquant sur le fichier téléchargé

• Laisse les options par défaut lors de l'installation

• Lance Ccleaner

• Clique sur le bouton Nettoyer et clique sur OK dans lafenêtre d'avertissement

• Clique sur l'onglet Registre

• Clique sur le bouton Chercher les erreurs

• Clique sur le bouton Corriger les erreurs sélectionnées

• Refais la recherche derreurs jusqu'à ce qu'il n'en trouve plus

Réponse 43 / 45

Mastergardian Messages postés 32 Statut Membre

c'est fait !!! ensuite ?

Réponse 44 / 45

Utilisateur anonyme

Alors, la suite :

On va analyser un fichier :

• Va sur le site VirusTotal

• Clique sur le bouton "parcourir"

• Recherche le fichier présent ici ==> C:\Windows\system32\lsass.exe

• Clique sur le bouton "Envoyer le fichier"

• Patiente pendant le scan du fichier

• Copie le rapport dans ta réponse

Réponse 45 / 45

Mastergardian Messages postés 32 Statut Membre

Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...

Fichier lsass.exe reçu le 2009.10.21 12:41:08 (UTC)
Situation actuelle: terminé

Résultat: 0/41 (0.00%)
Formaté Impression des résultats Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.21 -
AhnLab-V3 5.0.0.2 2009.10.20 -
AntiVir 7.9.1.42 2009.10.21 -
Antiy-AVL 2.0.3.7 2009.10.21 -
Authentium 5.1.2.4 2009.10.21 -
Avast 4.8.1351.0 2009.10.20 -
AVG 8.5.0.420 2009.10.20 -
BitDefender 7.2 2009.10.21 -
CAT-QuickHeal 10.00 2009.10.21 -
ClamAV 0.94.1 2009.10.21 -
Comodo 2678 2009.10.21 -
DrWeb 5.0.0.12182 2009.10.21 -
eSafe 7.0.17.0 2009.10.19 -
eTrust-Vet 35.1.7077 2009.10.21 -
F-Prot 4.5.1.85 2009.10.20 -
F-Secure 9.0.15300.0 2009.10.20 -
Fortinet 3.120.0.0 2009.10.21 -
GData 19 2009.10.21 -
Ikarus T3.1.1.72.0 2009.10.21 -
Jiangmin 11.0.800 2009.10.21 -
K7AntiVirus 7.10.875 2009.10.20 -
Kaspersky 7.0.0.125 2009.10.21 -
McAfee 5777 2009.10.20 -
McAfee+Artemis 5777 2009.10.20 -
McAfee-GW-Edition 6.8.5 2009.10.21 -
Microsoft 1.5101 2009.10.21 -
NOD32 4528 2009.10.21 -
Norman 6.03.02 2009.10.21 -
nProtect 2009.1.8.0 2009.10.21 -
Panda 10.0.2.2 2009.10.20 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 -
Rising 21.52.23.00 2009.10.21 -
Sophos 4.46.0 2009.10.21 -
Sunbelt 3.2.1858.2 2009.10.20 -
Symantec 1.4.4.12 2009.10.21 -
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.21 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.21.1999 2009.10.21 -
VirusBuster 4.6.5.0 2009.10.20 -
Information additionnelle
File size: 13312 bytes
MD5 : 91e6024d6d4dcdecdb36c43ecf9bbecb
SHA1 : f0d2a71e77908c5b9055fd848235a222532c5975
SHA256: d288c5cd69b8e4612b689fb33b9ccd5594634d14c14d53a842db742264a64d6b
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10014BD
timedatestamp.....: 0x48025186 (Sun Apr 13 20:31:34 2008)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10D0 0x1200 6.01 5501ba358fe3bca3fd6ff8d9d0ddcb45
.data 0x3000 0x6C 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x4000 0x1B30 0x1C00 7.15 54488850c25258396b2c9492c36b0bd5

( 0 imports )

( 0 exports )

TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert: https://www.symantec.com?md5=91e6024d6d4dcdecdb36c43ecf9bbecb
ssdeep: 384:KgHUJZXmtGDWkzLWT4a8WfMptsN0BhgO49:d38z4zRfMpy0BF4
PEiD : -
RDS : NSRL Reference Data Set
-

Virus Google (liens déviés) - Page 3

Newsletters