Sujet Précédent Sujet Suivant

Problème avec anti-virus, anti spyware, etc.

Votre humble serviteur Messages postés 8 Statut Membre -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,dernièrement, j'ai fait l'erreur de télécharger un petit logiciel et mon PC a attrapé une mauvaise "bestiole"....

Symptômes: Mon anti-virus (Windows One Care) ne fonctionne plus et ne répond plus, idem pour Spy-bot et Malwarebytes' Anti-Malware. De plus, je ne peux plus rien faire quand je veux accéder à la Restauration système (ni l'activer, ni la désactiver) et le mode sans échec ne répond plus. J'ai tenté de réinstaller mon Windows à l'aide du CD, mais malgré tout rien ne change. La majorité des systèmes anti-virus en ligne que j'ai essayés (ceux qui sont proposés sur ce site) ne fonctionnent pas non plus. Enfin, j'ai essayer de vérifier si je n'avais pas certains virus sur ce site ( http://www.inoculer.com/antivirus.php3 mais l'analyse me dit que non.

Bref, je commence à manquer d'imagination et je commence à me faire à l'idée d'un reformatage dans les prochains jours. Ceci dit, tous mes logiciels fonctionnent normalement de même qu'Internet.

Je viens de télécharger Hijackthis et voici le rapport qu'on me donne:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:22, on 2009-12-09
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSI\TV@Anywhere Plus\TVR\Scheduled.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe
C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSI\TV@Anywhere Utilities\P3XRCtl.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\FG\Mes documents\Téléchargements\HiJackThis(2).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Natural Voice Reader - {BCBF738C-4891-4B9A-959A-C6BF7F608C3A} - C:\Program Files\NaturalReader\FreeVersion\NVRIEBar.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [PVR Agent] C:\Program Files\MSI\TV@Anywhere Plus\TVR\Scheduled.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero BackItUp 4\NBKeyScan.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Free NaturalReader.lnk = C:\Program Files\NaturalReader\FreeVersion\FreeReader.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Program Files\MSI\TV@Anywhere Utilities\P3XRCtl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC71AF2-2C8E-4746-9FC4-FEC6CEB505E8}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
A voir également:

8 réponses

Réponse 1 / 8
Utilisateur anonyme
 
bonsoir
Télécharge FindyKill de Chiquitine29 sur ton bureau :

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
Déconnecte toi et ferme toutes applications en cours

• Double clique sur Setup.exe pour lancer l'installation avec les paramètres par défaut
• Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
• Sélectionne l'option F pour français, puis appuie sur la touche entrée
• Sélectionne l'option 1 (recherche), puis appuie sur la touche entrée

▶ Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
2
Réponse 2 / 8
Votre humble serviteur Messages postés 8 Statut Membre
 
Merci pour votre réponse !

Voici le rapport de Findykill...

############################## | FindyKill V5.020 |

# User : FG (Administrateurs) # PC-FG
# Update on 26/11/2009 by Chiquitine29
# Start at: 17:31:37 | 2009-12-09
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 Processor 3400+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
# Internet Explorer 6.0.2800.1106
# AV : Windows Live OneCare 1.0.0 [ (!) Disabled | Updated ]
# FW : Pare-feu Windows Live OneCare[ (!) Disabled ]1.0.0

# C:\ # Disque fixe local # 186,3 Go (133,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSI\TV@Anywhere Plus\TVR\Scheduled.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe
C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSI\TV@Anywhere Utilities\P3XRCtl.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | C: |

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\Prefetch\UPDATEGENERATOR.EXE-23D7A517.pf

################## | C:\WINDOWS\system32 |

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\FG\Application Data |

################## | Autres detections ... |

################## | Temporary Internet Files |

################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\SYSTEM\...\SafeBoot\Minimal | Mode sans echec non fonctionnel !

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

"J:\Backup ao–t 2009\Download complet\Applian Replay Converter V2.80 + DVT crack\RCSetup\RCSetup.exe"
2008-12-26 02:32 |Size 25990432 |Crc32 f5f7cb49 |Md5 c7b54cc0055a03735a28a68d412df01f

"J:\Backup ao–t 2009\Download complet\Applian Replay Converter V2.80 + DVT crack\Crack\ReplayConverter.exe"
2008-12-26 02:32 |Size 1414144 |Crc32 d5031119 |Md5 5a33af0a1398f5007b7e39d3ce664911

################## | ! Fin du rapport # FindyKill V5.020 ! |
0
Utilisateur anonyme
 
il y a une infection
supprime les cracks qui ont infecté ton PC
Déconnecte toi et ferme toutes application en cours, ainsi que le navigateur

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Relance FindyKill présent sur le bureau, tape sur F pour le français, puis appuie sur la touche entrée
• Sélectionne l'option 2 (suppression), puis appuie sur la touche entrée
• Le pc va redémarrer automatiquement ...

▶Laisse l'outil travailler, et ne touche à rien,ton bureau ne sera pas accessible c'est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

Note:Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , aller dans Onglet "Processus",
cliquer sur "fichier", sélectionner "nouvelle tâche", taper explorer.exe, puis valider
0
Réponse 3 / 8
Votre humble serviteur Messages postés 8 Statut Membre
 
Bon ! J'ai passé la soirée à faire ce que vous m'avez suggéré. J'ai démarré Findy Kill en mode supression. Tout a eu l'air correct, sauf que lorsque l'outil était rendu à 50% du travail effectué, plus rien. Je l'ai même laissé aller toute la nuit et au réveil, il était toujours à 50% et le travail n'était pas complété...et mon système est toujours infecté.

D'autres idées ???
0
Utilisateur anonyme
 
supprime Findykill et réessaye de le télécharger ici
http://sd-1.archive-host.com/membres/up/203669918515832581/humble.exe
j'ai renommé l'outil
lance le
0
Réponse 4 / 8
Votre humble serviteur Messages postés 8 Statut Membre
 
Bon...

J'ai fait comme vous m'avez suggéré, mais le résulat est le même. Le programme s'arrête à 50 % du travail et une boîte Windows apparaît me disant que le nettoyage du disque calcule la quantité d'espace pouvant être libéré sur C. Pourtant, après 2 heures,rien ne se passe, même après avoir fermé la boîte de message Windows...

J'ai effacé Findy Kill première version. Cependant, pour être certain que tout est OK, est-ce qu'il suffit de placer le fichier SETUP.EXE dans la corbeille. Car il n'apparaît pas dans la liste de "suppression de programmes"...
0
Utilisateur anonyme
 
oui, met le à la corbeille
je verrai cela demain, cr il est tard
0
Votre humble serviteur Messages postés 8 Statut Membre > Utilisateur anonyme
 
D'accord ! Chez moi, il est 18h...

En passant, je vous remercie de prendre le temps de m'aider ainsi...

C'est très apprécié !
0
Utilisateur anonyme > Votre humble serviteur Messages postés 8 Statut Membre
 
ici, il est 00H03
à demain
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Votre humble serviteur Messages postés 8 Statut Membre
 
Bon, alors il y a eu un peu d'évolution...

Après quelques tentatives avec Findy Kill, j'ai réussi à passer de 50% à 80% d'analyse effectuée. Mais à 80%, même probleme. Une fenêtre Windows ouvre et me dit que le nettoyage du disque s'amorce et plus rien. Si je fais annuler, Findy Kill n'avance plus lui non plus.

Cependant, j'ai réussi à redémarrer mes anti Spyware. J'ai donc fait une analyse Spybot et MBAM. J'a réussi à virer quelques parasites...J'ai ensuite réessayer quelques antivrus en ligne et eux aussi ont détecté quelques problèmes et je les ai virés.

J'ai ensuite désinstaller Windows One Care pour installer Antivir.

Après l'installation, un écran bleu est apparu pour me dire que Windows s'était arrêté pour contrer un possible problème. Un décompte s'est ensuite effectué me disant que l'on faisait le vidage de la mémoire physique vers le disque. Bref, j'ai redémarré mon PC.

Par la suite, j'ai fait une analyse Antivir qui a détecté certains virus. J'ai tenté de les effacer, mais je ne suis pas sûr que cela ait fonctionné...De plus, je suis incapable de mettre Antivir en mode "actif". Il faut que je l'ouvre moi-même de manière manuelle et je suis incapable de faire les mises à jour.

J'ai fait un coup d'HiJackThis et voici le résultat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:06, on 2009-12-13
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSI\TV@Anywhere Plus\TVR\Scheduled.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSI\TV@Anywhere Utilities\P3XRCtl.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\FG\Bureau\HiJackThis(2).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Natural Voice Reader - {BCBF738C-4891-4B9A-959A-C6BF7F608C3A} - C:\Program Files\NaturalReader\FreeVersion\NVRIEBar.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [PVR Agent] C:\Program Files\MSI\TV@Anywhere Plus\TVR\Scheduled.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero BackItUp 4\NBKeyScan.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Free NaturalReader.lnk = C:\Program Files\NaturalReader\FreeVersion\FreeReader.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Program Files\MSI\TV@Anywhere Utilities\P3XRCtl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} (CAScanner Control) - http://cainternetsecurity.net/scanner/cascanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC71AF2-2C8E-4746-9FC4-FEC6CEB505E8}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
0
Utilisateur anonyme
 
bonsoir
pour voir plus en profondeur
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

- http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis 2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt

Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
0
Réponse 6 / 8
Votre humble serviteur Messages postés 8 Statut Membre
 
Voici les deux rapports que j'ai obtenus...

http://www.cijoint.fr/cjlink.php?file=cj200912/cijhb2emyR.txt

http://www.cijoint.fr/cjlink.php?file=cj200912/cijRuD3sMU.txt
0
Utilisateur anonyme
 
bonjour
Après analyse des rapports, pas d'infections, mais il y a des grosses failles de sécurité

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Relance Hijackthis
Clique sur do a system scan only
Coche les lignes que je t'indique en gras
Clique sur fix checked
Redémarre le PC

C:\WINDOWS\SETAA.tmp
C:\WINDOWS\SET95.tmp
tu peux supprimer ceci, c'est superflux
0
Réponse 7 / 8
Votre humble serviteur Messages postés 8 Statut Membre
 
Encore une fois "Nathandre", MERCI beaucoup ! Tes conseils me sont précieux et très utiles jusqu'à maintenant...

J'ai fait ce que tu m'as suggéré sans problème. J'ai relancé l'installation d'Antivir et cela a fonctionné. J'ai réussi à faire les mises à jour et mon antivirus est maintenant fonctionnel !

Ne reste maintenant que deux petits problèmes à solutionner. D'abors, je ne suis toujours pas capable d'accéder au mode sans échec (avec ou sans prise en charge réseau).

Deuxième petit hic: la restauration système. Je ne suis pas capable de la configurer pour qu'elle soit fonctionnelle. Quand je l'ouvre, un message me dit que la restauration système a été désactivée et quand je réponds ensuite OUI pour l'activer maintenant, j'arrive face à une fenêtre sur laquelle je ne peux rien faire...
0
Utilisateur anonyme
 
Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau.

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
- Coche la case devant : restauration du système
- Ne coche aucune autre case
-Clique sur Restaurer
-Redémarre ton PC


et pour le mode sans échec
et pour le mode sans
prend pour windows XP SP1
0
Votre humble serviteur > Utilisateur anonyme
 
Eh bien j'ai fait tout ce que vous m'avez suggéré Nathandre et mon PC fonctionne maintenant comme avant.

Problèmes réglés ! Tout fonctionne à point !

Merci encore, sans vous, j'aurais probablement fait un "Format C" durant le Temps des Fêtes...

Et morale de cette histoire, fini le téléchargement de logiciels avec crack....
0
Utilisateur anonyme > Votre humble serviteur
 
bonjour
ça c'est une bonne décision
il faut nettoyer le PC, et effectuer des mises à jour


Il faut nettoyer le outils de désinfection:

* Télécharge ToolsCleaner2 sur ton Bureau
https://www.commentcamarche.net/telecharger/
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

supprime toolscleaner2 manuellement


*Désactive ta restauration pour supprimer les points de restauration infectés:

Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Coche la case désactiver la restauration Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Décoche la case désactiver la restauration Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accèssoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement


Un dernier petit nettoyage pour ton PC:

Télécharge C Cleaner Slim
* Enregistre le sur le Bureau
* Double-clique sur le fichier pour lancer l'installation
* Sur la fenêtre de l'installation langage bien choisir français et OK
* Clique sur suivant
* Lit la licence, et clique sur j'accepte
* Clique sur suivant, sur installer, puis sur fermer
* Double-clique sur l'icône de C Cleaner pour l'ouvrir
* Clique sur option, et puis avancé
* Tu décoches effacer uniquement les fichiers du dossier temp de windows plus vieux que 48 heures
* Clique sur nettoyeur
* Clique sur windows, et dans la colonne avancé
* Coche la première case vieilles données du perfetch que celle-là, ce qui te donnes la case vieilles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-là
* Clique sur analyser
*Clique sur nettoyer et sur la demande de confirmation OK. Tu recommences jusqu'à ce que C Cleaner ne trouve plus rien
* Clique maintenant sur registre et puis sur chercher les erreurs
* Laisse tout coché, et clique sur corriger les erreurs sélectionnées
*Il te demande de sauvegarder OUI
*Tu lui donnes un nom pour pouvoir la retrouver et enregistre
* Clique sur chercher les erreurs sélectionnées et sur la demande de confirmation OK
* Il supprime, et fermer, tu vérifies en relançant chercher les erreurs
*Tu retournes dans options, et tu recoches la case effacer uniquement les fichiers, du dossier temps de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du prefetch
* Tu peux fermer C Cleaner

il faut combler les failles de sécurité


Télécharge la nouvelle version d'Internet Explorer
https://support.microsoft.com/fr-fr/allproducts
Désinstalle Internet Explorer 6, car il est maintenant très vulnérable, puis installe la nouvelle version


Ton Windows n'est pas à jour, il comporte des failles de sécurité
Installe le SP3 pour Windows XP
http://www.microsoft.com/windows/products/windowsxp/sp3/default.mspx
0
Votre humble serviteur > Utilisateur anonyme
 
J'ai fait toutes les manipulations que tu me suggères...Cependant, quand j'essaie d'installer IE8, voici le message qui apparaît à la fin:

Point d'entrée de procédure SHGReg GetValueW est introuvable dans la bibliothèque de liaisons dynamique SHLWAPI.dll

Et l'installation s'arrête alors....

Ceci dit, je n'utilise plus IE. Je ne travaille qu'avec Mozilla Firefox...


Voici le bilan de TCleaner:
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Infosat.txt: trouvé !
C:\TB.txt: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\FG\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\FG\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\FG\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\FG\Mes documents\Téléchargements\HijackThis.exe: trouvé !
C:\Documents and Settings\FG\Mes documents\Téléchargements\hijackthis.log: trouvé !
C:\Documents and Settings\FG\Mes documents\Téléchargements\UsbFix.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\FG\Bureau\ToolBarSD.exe: supprimé !
C:\Documents and Settings\FG\Mes documents\Téléchargements\HijackThis.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Infosat.txt: supprimé !
C:\TB.txt: supprimé !
C:\Documents and Settings\FG\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\FG\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\FG\Mes documents\Téléchargements\hijackthis.log: supprimé !
C:\Documents and Settings\FG\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !

Corbeille vidée!
Fichiers temporaire
0
Utilisateur anonyme > Votre humble serviteur
 
si tu travailles sur firefox et qu'il est à jour, c'est bon
et pour Windows XP ?
0
Réponse 8 / 8
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, juste une question??

Votre humble serviteur, ton windows est bien un windows légal ????

salut nathandre !
0

Discussions similaires

Mac comment taper l'inverse d'un slash (/) ?
caldu -
@Adriendu10_MC sur Twitter -

12 réponses
Le Backslash
ClownClone -
baladur13 -

12 réponses
Comment faire un anti-slash ?
Utilisateur anonyme -
Hades -

6 réponses
Antislash sur AZERTY
dahamzi63 -
moh -

11 réponses
Comment taper le anti slash?
Flagadatof -
SANG -

26 réponses