chevaux de troie!help Résolu/Fermé

Question

Bonjour,, 
j'ai un cheval de troie ou plusieurs d'ailleurs ke kapersky a detecté sans trop y remedier et je ne sais pas comment les supprimés, kapersky ny fait rien alors concequence pc trop long a chargé mot de passe de ma boite mails changé et tout un bord...
est ce que vous pourriez me donné un coup de main je vous en supplie
merci!!

crapoulou · Answer

Salut, On va diagnostiquer les infections présentes sur ton PC avec un outil spécial : RSIT. Désactive l’UAC (User Account Control) le temps de la désinfection. Démarrer > Panneau de configuration > Comptes d’utilisateurs > Désactiver le contrôle des comptes d’utilisateur. (Manipulation inverse pour le remettre en fin de désinfection). (Cela va permettre aux outils de désinfection de travailler correctement). *********** Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Clique droit sur RSIT.exe puis sélectionne ‘Exécuter en tant qu’administrateur‘ pour le lancer. * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence. * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt et de info.txt.

yombalis · Answer

merci bcp pour ton coup de main!
alors aprés avoir désinstaller ma version d'evaluation de kapersky et déactiver le UAC,donc je travaille son aucune protection mais quand j'execute le rsit en tant qu'administrateur ou autre j'ai ce message;
C:\users\celine\desktop\rsit.exe n'est pas une aplication win32 valide.javoue chui dans le flou??

moment de grace · Answer

bonjour yombalis

C:\users\celine\desktop\rsit.exe n'est pas une aplication win32 valide.javoue chui dans le flou??

évites de te servir du pc jusqu'au retour de Crapoulou...il y a un risque Bagle

n'entreprends rien sans avis de ton helpeur qui va t'arranger ca

amicalement

crapoulou · Answer

En effet, il y a du Bagle : as-tu téléchargé un crack sur le P2P ? Si oui, supprime tous tes cracks !!! ******* Télécharge FindyKill (de Chiquitine29) sur ton bureau et installe le : = = = = =>>> En cliquant ici <<<= = = = = ! Déconnecte toi et ferme toutes tes applications en cours ! * Clique droit sur "FindyKill.exe" puis sélectionne "Exécuter en tant qu’administrateur" pour lancer l’installation et laisse les paramètres d’installation par défaut. * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) * Clique droit sur le raccourci FindyKill qui est sur ton bureau puis sélectionne "Exécuter en tant qu’administrateur" pour lancer l’outil. * Au menu principal choisis l’option "F" pour français et tape sur [Entrée]. * Au second menu Choisis l’option "1" (recherche) et tape sur [Entrée]. Laisse travailler l’outil et ne touche à rien ... => Poste le rapport qui apparaît à la fin, sur le forum ... (Le rapport est sauvegardé aussi sous C:\FindyKill.txt) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) Note : "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus. Aide en images : http://pagesperso-orange.fr/NosTools/findykill_video.html

yombalis · Answer

resalut!merci crapoulou pour l'interet que tu me portes!
alors jai suivi tes instructions a la lettre, le scan s'est mis en route jusqu a 60pour cent ou il a fait defiler plusieurs bagles et il s'est arretter nette sur un bagle:HKCU\SOFTWARE\XYZ et là il s'est bloqué avec un message d'erreur windows: "Utilitaire(QGRP) de recherche de chaines de caractéres a cesser de fonctionner,un probléme a fait que le programme a cessé de fonctionner correctement.windows va fermer ce programme et vous indiquer si une solution est disponible."et 5 min plus tard ca s'est remi en marche.ca me fait flipper jai l'impression qu'on se bat contre quelqun...ce matin je me suis rendu compte que mes mots de passes ont changés m'empechant d'acceder a hotmail,canalplus et betclic...c grave?donc voici les rapports:

############################## | FindyKill V5.020 |

# User : celine (Administrateurs) # PC-DE-CELINE
# Update on 26/11/2009 by Chiquitine29
# Start at: 07:29:39 | 08/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Genuine Intel(R) CPU           T2080  @ 1.73GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 7.0.6002.18005
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 70,77 Go (23,3 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 70,47 Go (42,07 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
C:\Windows\system32\FsUsbExService.Exe
C:\Windows\system32\svchost.exe
C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtlService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtWlan.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Windows\system32	askeng.exe
C:\Users\celine\AppData\Local\gfrkdvn.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\celine\AppData\Roaming |


################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center\Svc] "AntiVirusOverride"  
Présent ! [HKLM\software\microsoft\security center\Svc] "FirewallOverride"  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# (!) Uac = 0x0 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.020 ! |

crapoulou · Answer

A ma connaissance, Bagle ne change pas les mots de passe...

Nettoyage avec Findykill :

! Déconnecte toi et ferme toutes application en cours (Navigateur Internet compris) !

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
* Relance "FindyKill".
* Au menu principal choisis l’option "F" pour français et tape sur [Entrée].
* Au second menu choisis l’option "2" (Suppression) et tape sur [Entrée].
* Le PC va redémarrer automatiquement.
=> Le programme va travailler, ne touche à rien. Ton bureau ne sera pas accessible, c’est normal !

* Poste le rapport qui apparaît à la fin (le rapport est sauvegardé aussi sous C:\FindyKill.txt)

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide /!\

Aide en images (Suppression) :
ICI

********

As-tu ce problème suite à un crack ???

yombalis · Answer

ouais tout ca a cause d'un crack pourri!tu aurais un antivirus ou anti troyan a me conseiller pour eviter ce genre de mésaventure?voici le rapport:

############################## | FindyKill V5.020 |

# User : celine (Administrateurs) # PC-DE-CELINE
# Update on 26/11/2009 by Chiquitine29
# Start at: 08:04:19 | 08/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Genuine Intel(R) CPU           T2080  @ 1.73GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 7.0.6002.18005
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 70,77 Go (23,3 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 70,47 Go (42,07 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
C:\Windows\system32\FsUsbExService.Exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtlService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtWlan.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\userinit.exe
C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtWlan.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-B9E72D89.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\celine\AppData\Roaming |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.020 ! |

yombalis · Answer

ouais tout ca a cause d'un crack pourri!tu aurais un antivirus ou anti troyan a me conseiller pour eviter ce genre de mésaventure?voici le rapport:

############################## | FindyKill V5.020 |

# User : celine (Administrateurs) # PC-DE-CELINE
# Update on 26/11/2009 by Chiquitine29
# Start at: 08:04:19 | 08/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Genuine Intel(R) CPU           T2080  @ 1.73GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 7.0.6002.18005
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 70,77 Go (23,3 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 70,47 Go (42,07 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
C:\Windows\system32\FsUsbExService.Exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtlService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtWlan.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\userinit.exe
C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtWlan.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-B9E72D89.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\celine\AppData\Roaming |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.020 ! |

crapoulou · Answer

Le meilleur antivirus, c'est toi ! Si tu crack des logiciels, AUCUN antivirus ne te protègera!!! On verra pour l'antivirus un peu plus tard... ******** Télécharge Malwarebytes’ Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d’installation - Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l’icône de malwarebytes pour le relancer - Dans l’onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. - Rends toi dans l’onglet rapport/log - Tu clique dessus pour l’afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d’aide regarde ce tutorial ICI

yombalis · Answer

Bonsoir, merci pour ton aide.
Alors voici le rapport : 

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3325
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

09/12/2009 01:06:08
mbam-log-2009-12-09 (01-06-08).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 275489
Temps écoulé: 1 hour(s), 20 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gfrkdvn (Trojan.Agent.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\celine\AppData\Local\gfrkdvn.exe (Trojan.Agent.H) -> Delete on reboot.
C:\Windows.old\Users\cissou\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\Users\celine\Local Settings\Application Data\gfrkdvn_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\Users\celine\Local Settings\Application Data\gfrkdvn_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

crapoulou · Answer

Vide la quarantaine de Malwarebytes' Anti Malware.
Je te passerai une procédure un peu plus tard quand le serai chez moi ;-).

crapoulou · Answer

Pour vérification : Tu as une infection Navipromo / Magic control. Télécharge sur le bureau Navilog1 (Merci à IL-MAFIOSO) = = = = >>> En cliquant ici <<< = = = = * Désactive tes logiciels de sécurité (antivirus, pare-feu, antispyware,…) * Clique droit sur "Navilog1" sur ton bureau que tu viens de télécharger et sélectionne "Exécuter en tant qu’administrateur" * Appuie sur le chiffre 1 de ton clavier puis sur la touche Entrée pour sélectionner la langue française. * Appuie sur une touche de ton clavier pour continuer... (Il te le sera demandé plusieurs fois). * Tape 1, puis appuie sur la touche Entrée de ton clavier pour sélectionner l’option "Recherche / Désinfection automatique" * Sois patient, cela peut prendre une dizaine de minutes voire plus. * Navilog1 t’informe que la recherche est terminée * Appuie sur une touche de ton clavier pour afficher le rapport qu’il a généré * Le rapport sera sauvegardé dans le fichier suivant : "cleannavi.txt" à la racine de ton disque dur (C:\cleannavi.txt). * Poste le rapport généré ******** Poste ensuite un rapport RSIT : https://forums.commentcamarche.net/forum/affich-15520750-chevaux-de-troie-help#1

yombalis · Answer

salut!c inquietant? d'autant plus k'jai pas d'antivirus,j'n'ai que le pare feu win.
en tout cas jte remercie c trés gentil de m'aider,oup's j'ai oublier de  Vider la quarantaine de Malwarebytes' Anti Malware,jle fais meme aprés le scan?
voici le rapport:
Fix Navipromo version 4.0.5 commencé le 10/12/2009  1:04:28,49

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 10.11.2009 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU           T2080  @ 1.73GHz )
BIOS : Ver 1.00PARTTBLP
USER : celine ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:70 Go (Free:21 Go)
D:\ (Local Disk) - NTFS - Total:70 Go (Free:42 Go)
E:\ (CD or DVD)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\celine\AppData\Local\gfrkdvn.dat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\celine\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 10/12/2009  1:28:06,64 ***

crapoulou · Answer

j'ai oublier de Vider la quarantaine de Malwarebytes' Anti Malware,jle fais meme aprés le scan? 
Oui.

***********

Tu n’as pas d’antivirus ! C’est risqué de naviguer sur Internet sans antivirus !
Installe Antivir d’Avira, préférable à Avast.
Tout est expliqué sur ce lien, du téléchargement à la configuration.
Autres liens utiles : ICI
ET ICI

Fais une analyse après l'avoir mis à jour et poste le rapport.

yombalis · Answer

bonjour!
ok c fait,AVIRA installé, j'espére que ca ira,et je te remercie de ton assistance,tu assures....lol

yombalis · Answer

bonjour,j'ai fait un controle de systeme integral(scan) avec avira et voici le rapport: Avira AntiVir Personal Date de création du fichier de rapport : jeudi 10 décembre 2009 13:12 La recherche porte sur 1426507 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 2) [6.0.6002] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PC-DE-CELINE Informations de version : BUILD.DAT : 9.0.0.72 21606 Bytes 08/11/2009 10:58:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 11:57:21 VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 11:57:21 VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 11:57:21 VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 11:57:21 VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 11:57:21 VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 11:57:21 VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 11:57:21 VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 11:57:21 VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 11:57:22 VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 11:57:22 VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 11:57:22 VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 11:57:22 VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 11:57:23 VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 11:57:24 VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 11:57:24 VBASE016.VDF : 7.10.1.179 2048 Bytes 07/12/2009 11:57:24 VBASE017.VDF : 7.10.1.180 2048 Bytes 07/12/2009 11:57:25 VBASE018.VDF : 7.10.1.181 2048 Bytes 07/12/2009 11:57:25 VBASE019.VDF : 7.10.1.182 2048 Bytes 07/12/2009 11:57:25 VBASE020.VDF : 7.10.1.183 2048 Bytes 07/12/2009 11:57:25 VBASE021.VDF : 7.10.1.184 2048 Bytes 07/12/2009 11:57:25 VBASE022.VDF : 7.10.1.185 2048 Bytes 07/12/2009 11:57:25 VBASE023.VDF : 7.10.1.186 2048 Bytes 07/12/2009 11:57:25 VBASE024.VDF : 7.10.1.187 2048 Bytes 07/12/2009 11:57:25 VBASE025.VDF : 7.10.1.188 2048 Bytes 07/12/2009 11:57:25 VBASE026.VDF : 7.10.1.189 2048 Bytes 07/12/2009 11:57:25 VBASE027.VDF : 7.10.1.190 2048 Bytes 07/12/2009 11:57:26 VBASE028.VDF : 7.10.1.191 2048 Bytes 07/12/2009 11:57:26 VBASE029.VDF : 7.10.1.192 2048 Bytes 07/12/2009 11:57:26 VBASE030.VDF : 7.10.1.193 2048 Bytes 07/12/2009 11:57:26 VBASE031.VDF : 7.10.1.209 83456 Bytes 10/12/2009 11:57:26 Version du moteur : 8.2.1.102 AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52 AESCRIPT.DLL : 8.1.2.45 586108 Bytes 10/12/2009 11:57:34 AESCN.DLL : 8.1.2.5 127346 Bytes 08/11/2009 06:38:46 AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44 AERDL.DLL : 8.1.3.4 479605 Bytes 10/12/2009 11:57:33 AEPACK.DLL : 8.2.0.3 422261 Bytes 08/11/2009 06:38:40 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38 AEHEUR.DLL : 8.1.0.186 2183544 Bytes 10/12/2009 11:57:32 AEHELP.DLL : 8.1.8.0 237942 Bytes 10/12/2009 11:57:28 AEGEN.DLL : 8.1.1.80 364917 Bytes 10/12/2009 11:57:28 AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26 AECORE.DLL : 8.1.8.5 180598 Bytes 10/12/2009 11:57:27 AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31 AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26 RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : jeudi 10 décembre 2009 13:12 La recherche d'objets cachés commence. Impossible d'initialiser le pilote. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'FlashUtil10c.exe' - '1' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés Processus de recherche 'ieuser.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés Processus de recherche 'NPSAgent.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'RtWLan.exe' - '1' module(s) sont contrôlés Processus de recherche 'RtlService.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '45' processus ont été contrôlés avec '45' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '29' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Windows\System32\PartyPoker_Installer\SmartInstaller.exe [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen C:\Windows.old\Users\cissou\Desktop\programme\pkrinstall.exe [0] Type d'archive: NSIS --> [UnknownDir]/CrashReport.exe [RESULTAT] Contient le cheval de Troie TR/Vapsup.uxx C:\Windows.old\Users\cissou\Downloads\PartyPokerSetup.exe [0] Type d'archive: RSRC [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen --> Object [0] Type d'archive: ZIP SFX (self extracting) --> SmartInstaller.exe [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen Recherche débutant dans 'D:\' Début de la désinfection : C:\Windows\System32\PartyPoker_Installer\SmartInstaller.exe [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b81ff0e.qua' ! C:\Windows.old\Users\cissou\Desktop\programme\pkrinstall.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b92ff0c.qua' ! C:\Windows.old\Users\cissou\Downloads\PartyPokerSetup.exe [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b92ff02.qua' ! Fin de la recherche : jeudi 10 décembre 2009 14:58 Temps nécessaire: 1:45:49 Heure(s) La recherche a été effectuée intégralement 40268 Les répertoires ont été contrôlés 602265 Des fichiers ont été contrôlés 4 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 3 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 602259 Fichiers non infectés 4399 Les archives ont été contrôlées 2 Avertissements 5 Consignes

crapoulou · Answer

Très bien, il t'a mis ça en quarantaine :
C:\Windows\System32\PartyPoker_Installer\SmartInstaller.exe
C:\Windows.old\Users\cissou\Desktop\programme\pkrinstall.exe
C:\Windows.old\Users\cissou\Downloads\PartyPokerSetup.exe

Ne les réinstalle pas ;-).
Je téléchargement de jeux de casino, poker, .. est souvent plein d'infections (adwares, spywares, ...)

********

On n'a pas terminé. Ne pars pas sans que je te dise que c'est bon !
En attendant, as-tu des remarques, des questions, ... ? Comment va le PC globalement ?
(améliorations, rapidité d'exécution, ...)

Je te donne une procédure à suivre quand je suis chez moi ;-). A+.

yombalis · Answer

Bonjour, merci encore pour ton aide, je me demande comment j'aurai pu regler tout ca sans ton aide!
En ce qui concerne l'état de mon pc il semble aller mieux, il est plus rapide en tout cas...
Je reste à l'ecoute des tes conseils ne t'en fait pas, je ne risque pas de me sauver!

crapoulou · Answer

Génère un rapport RSIT :
https://forums.commentcamarche.net/forum/affich-15520750-chevaux-de-troie-help#1

yombalis · Answer

re!alors aprés avoir fait tourner RSIT j'ai reçu 2 rapports,je ne sais pas lequel envoyer donc j'envois les 2
info-bloc-notes:
info.txt logfile of random's system information tool 1.06 2009-12-10 23:37:41

======Uninstall list======

Adobe AIR-->c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{A2BCA9F1-566C-4805-97D1-7FDC93386723}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
BetClic Poker-->C:\PROGRA~1\BETCLI~1\UNWISE.EXE C:\PROGRA~1\BETCLI~1\INSTALL.LOG
BlueStork BS-WG-USB Wireless LAN Driver and Utility-->C:\Program Files\InstallShield Installation Information\{BE686891-3C56-4714-AFEF-341A7867BA80}\Install.exe -uninst -l0x40C
Full Tilt Poker-->"C:\Program Files\InstallShield Installation Information\{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}\setup.exe" -runfromtemp -l0x040c -removeonly
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Earth-->MsiExec.exe /X{9074AFC0-CFDA-11DE-B484-005056806466}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PC Connectivity Solution-->MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930}
SAMSUNG Mobile Composite Device Software-->C:\Windows\system32\Samsung_USB_Drivers\6_old\SSBCUninstall.exe
Samsung Mobile Modem Device Software-->C:\Windows\system32\Samsung_USB_Drivers\7\SSECUninstall.exe
SAMSUNG Mobile Modem Driver Set-->C:\Windows\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
Samsung Mobile phone USB driver Software-->C:\Windows\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->C:\Windows\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->C:\Windows\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung New PC Studio-->"C:\Program Files\InstallShield Installation Information\{F193FC0E-9E18-40FC-A974-509A1BDD240A}\setup.exe" -runfromtemp -l0x040c -removeonly
Samsung New PC Studio-->MsiExec.exe /X{F193FC0E-9E18-40FC-A974-509A1BDD240A}
Samsung Samples Installer-->"C:\Program Files\InstallShield Installation Information\{7AC15160-A49B-4A89-B181-D4619C025FFF}\setup.exe" -runfromtemp -l0x040c -removeonly
SAMSUNG USB Mobile Device Software-->C:\Windows\system32\Samsung_USB_Drivers\6\SS_BUninstall.exe
SamsungConnectivityCableDriver-->MsiExec.exe /X{7E84FAC8-C518-40F9-9807-7455301D6D25}
SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: PC-de-celine
Event Code: 4386
Message: Windows Servicing a requis un redémarrage pour terminer la modification de la mise à jour 970653-266_neutral_PACKAGE du package KB970653(Update) à l’état Génération(Staging)
Record Number: 30116
Source Name: Microsoft-Windows-Servicing
Time Written: 20090926041408.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-celine
Event Code: 4386
Message: Windows Servicing a requis un redémarrage pour terminer la modification de la mise à jour 970653-265_neutral_PACKAGE du package KB970653(Update) à l’état Génération(Staging)
Record Number: 30115
Source Name: Microsoft-Windows-Servicing
Time Written: 20090926041408.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-celine
Event Code: 4386
Message: Windows Servicing a requis un redémarrage pour terminer la modification de la mise à jour 970653-264_neutral_PACKAGE du package KB970653(Update) à l’état Génération(Staging)
Record Number: 30114
Source Name: Microsoft-Windows-Servicing
Time Written: 20090926041408.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-celine
Event Code: 4386
Message: Windows Servicing a requis un redémarrage pour terminer la modification de la mise à jour 970653-263_neutral_PACKAGE du package KB970653(Update) à l’état Génération(Staging)
Record Number: 30113
Source Name: Microsoft-Windows-Servicing
Time Written: 20090926041408.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-celine
Event Code: 4386
Message: Windows Servicing a requis un redémarrage pour terminer la modification de la mise à jour 970653-262_neutral_PACKAGE du package KB970653(Update) à l’état Génération(Staging)
Record Number: 30112
Source Name: Microsoft-Windows-Servicing
Time Written: 20090926041408.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: PC-de-celine
Event Code: 1000
Message: Application défaillante Setup.exe_InstallShield, version 12.0.0.58849, horodatage 0x45b1a378, module défaillant Setup.exe, version 12.0.0.58849, horodatage 0x45b1a378, code d’exception 0xc0000005, décalage d’erreur 0x0001e7b9, ID du processus 0xfe8, heure de début de l’application 0x01ca3dfb37806b34.
Record Number: 55
Source Name: Application Error
Time Written: 20090925161411.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-celine
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 40
Source Name: Microsoft-Windows-WMI
Time Written: 20090925160303.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-celine
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 39
Source Name: Microsoft-Windows-WMI
Time Written: 20090925160303.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-celine
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue. 

Record Number: 24
Source Name: Microsoft-Windows-Search
Time Written: 20090925155903.000000-000
Event Type: Avertissement
User: 

Computer Name: 26L2233B2-11
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 13
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20090925154304.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: 26L2233B2-11
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		26L2233B2-11$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x210
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Adresse du réseau :	-
	Port :			-

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090925154008.494196-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233B2-11
Event Code: 4902
Message: La table de stratégie d’audit par utilisateur a été créée.

Nombre d’éléments :	0
ID de la stratégie :	0xb52e6
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090925153957.808127-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233B2-11
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			0

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x4
	Nom du processus :		

Informations sur le réseau :
	Nom de la station de travail :	-
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		-
	Package d’authentification :	-
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090925153954.656907-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233B2-11
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090925153954.656907-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233B2-11
Event Code: 4647
Message: Fermeture de session initiée par l’utilisateur :

Sujet :
	ID de sécurité :		S-1-5-21-2152478756-3922319563-605102323-500
	Nom du compte :		Administrator
	Domaine du compte :		26L2233B2-11
	ID d’ouverture de session :		0x8496a

Cet événement est généré lorsqu’une fermeture de session est initiée, mais que le nombre de références du jeton n’étant pas zéro, la session ouverte ne peut pas être supprimée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061102130954.400000-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 12, GenuineIntel
"PROCESSOR_REVISION"=0e0c
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------

log-bloc-notes:
Logfile of random's system information tool 1.06 (written by random/random)
Run by celine at 2009-12-10 23:36:56
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2
System drive C: has 23 GB (32%) free of 72 GB
Total RAM: 1013 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:36, on 10/12/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Users\celine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9B7IPSX9\RSIT[1].exe
C:\Program Files	rend micro\celine.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: RealtekUSB - Realtek - C:\Program Files\BlueStork\BS-WG-USB Wireless LAN Utility\RtlService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

crapoulou · Answer

Relance Hijackthis par clic droit, ‘Exécuter en tant qu’administrateur‘. Il se trouve ici : C:\Program Files rend micro\celine.exe Clique sur "Do a system scan only". Coche ces lignes : O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" Clique ensuite sur "Fix checked". Ferme Hijackthis. ********** Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : Télécharge toolscleaner sur ton Bureau = = = =>>> En cliquant ici <<<= = = = * Clique droit sur ToolsCleaner2.exe, sélectionne «Exécuter en tant qu’administrateur« et laisse le travailler sans rien toucher ! * Clique sur Recherche et laisse le scan se terminer. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options facultatives. * Clique sur Quitter, pour que le rapport puisse se créer. * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse. ********** Tu peux garder Malwarebytes anti malware en tant qu’anti malware, il est très efficace. (Même s’il ne résout pas tous les problèmes, bien entendu … !) Par contre, il n’a pas de scan résident en mode gratuit ! Il faut donc pour l’utiliser le lancer, faire les mises à jour et faire un scan complet après. *********** Mets à jour Internet Explorer en téléchargeant la version 8 (même si tu ne l’utilises pas, sinon c’est une faille de sécurité de ne pas le tenir à jour…) = = = =>>> En cliquant ici <<<= = = = ********** * Télécharge Ccleaner Slim : = = = = >>> En cliquant ici <<< = = = = * Installe le. * Choisis l’onglet Nettoyeur Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui. Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant. * Choisis l’onglet Registre - Clique sur Chercher des erreurs - Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça) - Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format ".reg" en le nommant par la date par exemple en le mettant sur le bureau. Puis continue. - A la fenêtre qui s’ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK - Recommence jusqu’à ce qu’aucune erreur n’apparaisse (ou une seule récurrente). - Ferme Ccleaner. * Tutoriel en images ICI si besoin. Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m’est jamais arrivé ! Il vaut mieux prendre des précautions, c’est tout. ;-) *********** Réactive l'UAC.

yombalis · Answer

voila jai appliqué toutes les instructions a la lettre voici le rapport:
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\cleannavi.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\Qoobox: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Users\celine\Desktop\Navilog1.exe: trouvé !
C:\Windows.old\Documents and Settings\celine\Desktop\Navilog1.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Users\celine\Desktop\Navilog1.exe: supprimé !
C:\cleannavi.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Navilog1: supprimé !

crapoulou · Answer

Très bien, supprime Toolscleaner et passe à la suite si ce n'est pas encore fait.

yombalis · Answer

salut
ok!voila tout est  fait deja comme tu l'as indiqué merci d'ailleurs!!

crapoulou · Answer

Parfait, tu peux donc changer le statut du fil de la discussion ;-).

yombalis · Answer

ok merci bcp de m'avoir aider, bonne continuation!

crapoulou · Answer

A ton service, bonne continuation également !

Chevaux de troie!help

27 réponses

Discussions similaires

Newsletters